Scribd Logo
Importer

Bienvenue sur Scribd !

  • Resume Cours ACL CISCO

    Transféré par

    toto
    1K vues4 pages
    cisco

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document
    cisco

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    1K vues4 pages

    Resume Cours ACL CISCO

    Transféré par

    toto
    cisco

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 4

    ACL Access Control List 1

    Gnralits

    Une ACL est une liste de rgles permettant de filtrer ou dautoriser du trafic sur un rseau en fonction de
    certains critres (IP source, IP destination, port source, port destination, protocole, ).
    Une ACL permet de soit autoriser du trafic (permit) ou de le bloquer (deny).
    Il est possible dappliquer au maximum une ACL par interface et par sens (input/output).
    Une ACL est analyse par lIOS de manire squentielle.
    Ds quune rgle correspond au trafic, laction dfinie est applique, le reste de lACL nest pas analys.
    Toute ACL par dfaut bloque tout trafic. Donc tout trafic ne correspondant aucune rgle dune ACL est rejet.

    Remarque: Les ACLs servent galement identifier un trafic afin dtre trait par un processus, dans ce cas le
    trafic correspondant un permit est trait, et celui correspondant un deny est ignor.

    Les ACLs et le routage

    Interfacace de sortie

    Interfacace dentre

    ACL Standard ACL Etendues

    Permet danalyser du trafic en fonction de: Permet danalyser du trafic en fonction de:
    Adresse IP source Adresse IP source
    Adresse IP destination
    Protocole (tcp, udp, icmp, )
    Port source
    Port destination
    Etc.

    Les ACLs standard sont appliquer le plus proche Les ACLs tendues sont appliquer le plus
    possible de la destination en raison de leur faible proche possible de la source.
    prcision.

    Concevoir une ACL Conseils

    Lorsquune ACL contient plusieurs rgles il Concevoir une ACL dans un diteur de texte
    faut placer les rgles les plus prcises en et la configurer par copier/coller.
    dbut de liste, et donc les plus gnriques en Dsactiver une ACL sur une interface avant
    fin de liste. de la modifier.

    http://www.ciscomadesimple.be
    ACL Access Control List 2

    Configuration dune ACL numrique standard


    R1(config)#access-list 1 permit 192.168.0.0 0.0.0.255 ACL numriques
    R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255
    R1(config)#access-list 1 deny 192.168.0.0 0.0.3.255 ACL identifes par un nombre.
    R1(config)#access-list 1 permit any
    1 99 : ACL Standard
    Configuration dune ACL nomme standard 100 199 : ACL Etendue
    1300 1999 : ACL Standard
    R1(config)#ip access-list standard monACL
    2000 2699 : ACL Etendue
    R1(config-std-nacl)#permit 192.168.0.0 0.0.0.255
    R1(config-std-nacl)#permit 192.168.1.0 0.0.0.255
    R1(config-std-nacl)#deny 192.168.0.0 0.0.3.255
    R1(config-std-nacl)#permit any ACL nommes
    R1(config-std-nacl)#exit
    ACL identifies par un nom sous
    Vrification des ACLs la forme dune chane de
    R1#show access-lists caractres alphanumriques.
    Standard IP access list 1
    10 permit 192.168.0.0, wildcard bits 0.0.0.255
    20 permit 192.168.1.0, wildcard bits 0.0.0.255
    30 deny 192.168.0.0, wildcard bits 0.0.3.255 Ces deux ACLs sont identiques.
    40 permit any Tout le trafic provenant du rseau 192.168.0.0/
    Standard IP access list monACL 22 est bloqu lexception des deux subnets
    10 permit 192.168.0.0, wildcard bits 0.0.0.255 192.168.0.0/24 et 192.168.1.0/24.
    20 permit 192.168.1.0, wildcard bits 0.0.0.255
    30 deny 192.168.0.0, wildcard bits 0.0.3.255
    40 permit any
    R1#

    Configuration dune ACL numrique tendue


    R1(config)#access-list 100 permit tcp any host 192.168.1.100 eq 80
    R1(config)#access-list 100 permit icmp 192.168.0.0 0.0.0.255 host 192.168.1.100

    Configuration dune ACL nomme tendue


    R1(config)#ip access-list extended monACLextended
    R1(config-ext-nacl)#permit tcp any host 192.168.1.100 eq 80
    R1(config-ext-nacl)#permit icmp 192.168.0.0 0.0.0.255 host 192.168.1.100
    R1(config-ext-nacl)#exit

    Vrification des ACLs


    R1#show access-lists
    Ces deux ACLs sont identiques.
    Extended IP access list 100
    - Tout trafic HTTP destination de
    10 permit tcp any host 192.168.1.100 eq www
    192.168.1.100 est autoris.
    20 permit icmp 192.168.0.0 0.0.0.255 host 192.168.1.100 - Tout le traffic ICMP provenant de
    Extended IP access list monACLextended 192.168.0.0/24 destination de
    10 permit tcp any host 192.168.1.100 eq www 192.168.1.100 est autoris.
    20 permit icmp 192.168.0.0 0.0.0.255 host 192.168.1.100 - Tout autre trafic est rejet.
    R1#

    Format gnral dune rgle tendue


    <action> <protocole> <IP source> [port source] <IP dest> [port dest] [options]

    Permit / deny Adresse + wildcard mask. Adresse + wildcard mask.


    Ou Ou
    Tcp / udp , Host 192.168.0.1 Host 192.168.0.1
    Ip = tous les (adresse dun hte) (adresse dun hte)
    protocoles Ou Ou
    Any = nimporte quelle Any = nimporte quelle
    source. source.

    http://www.ciscomadesimple.be
    ACL Access Control List 3

    Modifier une ACL


    R1#show access-list 1
    Standard IP access list 1
    10 permit 192.168.0.0, wildcard bits 0.0.0.255
    20 permit 192.168.1.0, wildcard bits 0.0.0.255
    30 deny 192.168.0.0, wildcard bits 0.0.3.255 Entre en mode de
    40 permit any configuration dACL
    R1#configure terminal Supprime la rgle portant le
    R1(config)#ip access-list standard 1 n de squence 20
    R1(config-std-nacl)#no 20
    Ajoute une rgle avec le n
    R1(config-std-nacl)#15 permit 192.168.1.0 0.0.0.127
    de squence 15
    R1(config-std-nacl)#^Z
    R1#show access-list 1
    Standard IP access list 1
    10 permit 192.168.0.0, wildcard bits 0.0.0.255
    15 permit 192.168.1.0, wildcard bits 0.0.0.127
    30 deny 192.168.0.0, wildcard bits 0.0.3.255
    40 permit any
    R1#
    Supprimer une ACL
    R1#show access-lists
    Standard IP access list 1
    10 permit 192.168.0.0, wildcard bits 0.0.0.255
    15 permit 192.168.1.0, wildcard bits 0.0.0.127
    30 deny 192.168.0.0, wildcard bits 0.0.3.255
    40 permit any
    Standard IP access list monACL
    10 permit 192.168.0.0, wildcard bits 0.0.0.255
    20 permit 192.168.1.0, wildcard bits 0.0.0.255
    30 deny 192.168.0.0, wildcard bits 0.0.3.255
    40 permit any
    Extended IP access list 100
    10 permit tcp any host 192.168.1.100 eq www
    20 permit icmp 192.168.0.0 0.0.0.255 host 192.168.1.100
    Extended IP access list monACLextended
    10 permit tcp any host 192.168.1.100 eq www
    20 permit icmp 192.168.0.0 0.0.0.255 host 192.168.1.100
    Extended IP access list test
    R1#configure terminal t Suppression dune ACL
    numrote
    R1(config)#no access-list 100
    R1(config)#no ip access-list standard monACL Suppression dune ACL
    R1(config)#^Z nomme
    R1#show access-lists
    Standard IP access list 1
    10 permit 192.168.0.0, wildcard bits 0.0.0.255
    15 permit 192.168.1.0, wildcard bits 0.0.0.127
    30 deny 192.168.0.0, wildcard bits 0.0.3.255
    40 permit any
    Extended IP access list monACLextended
    10 permit tcp any host 192.168.1.100 eq www
    20 permit icmp 192.168.0.0 0.0.0.255 host 192.168.1.100
    Extended IP access list test
    R1#

    http://www.ciscomadesimple.be
    ACL Access Control List 4

    Appliquer une ACL sur une interface


    R1(config)#interface fastethernet 0/0 Applique lACL 1 pour le trafic
    R1(config-if)#ip access-group 1 in entrant sur linterface
    OU
    R1(config-if)#ip access-group 1 out Applique lACL 1 pour le trafic
    sortant de linterface
    R1(config-if)#

    Vrification des ACLs appliques sur une interface


    R1#show ip interface fastEthernet 0/0
    FastEthernet0/0 is up, line protocol is up
    Internet address is 192.168.0.1/24
    Broadcast address is 255.255.255.255
    Address determined by setup command
    MTU is 1500 bytes
    Helper address is not set
    Directed broadcast forwarding is disabled ACL 1 applique en sortie
    Outgoing access list is 1
    Inbound access list is 1 ACL 1 applique en entre
    Proxy ARP is enabled
    Local Proxy ARP is disabled
    Security level is default
    < suite de laffichage omis >
    R1#

    Dsactiver une ACL sur une interface


    R1(config)#interface fastethernet 0/0
    R1(config-if)#no access-group 1 in
    OU
    R1(config-if)#no access-group 1 out
    R1(config-if)#

    Appliquer une ACL sur les lignes VTY


    R1(config)#line vty 0 4
    R1(config-if)#access-class 1 in
    R1(config-if)#

    Dsactiver une ACL sur les lignes VTY


    R1(config)#line vty 0 4
    R1(config-if)#no access-class 1 in
    R1(config-if)#

    Vrifier le fonctionnement dune ACL


    R1#show access-lists workingACL
    Extended IP access list workingACL
    10 permit tcp any host 193.190.147.70 eq www (2 matches)
    20 permit icmp any host 193.190.147.70 (14 matches)
    30 deny ip any host 193.190.147.70 (4926 matches) Indique le nombre de fois o une
    40 permit ip any any (878382 matches) rgle de lACL a t applique
    R1#

    http://www.ciscomadesimple.be

    Vous aimerez peut-être aussi