Académique Documents
Professionnel Documents
Culture Documents
1
Les listes de contrôle d'accès
Sont des listes d'instructions applicables à une interface du routeur pour
Protocole Applicatif
l'acheminer ou l'abandonner
2
Les listes de contrôle d'accès
3
Les listes de contrôle d'accès
Sont configurées au niveau du
routeur en vue de contrôler
l'accès à un réseau ou à un sous-
réseau pour :
Limiter le trafic réseau et
accroître les performances
7
Configuration de listes de contrôle
d’accès
Créer des listes de contrôle d'accès en mode de configuration globale.
Spécifier un numéro de liste de contrôle d'accès entre 1 et 99 : ACL
standards.
Spécifier un numéro de liste de contrôle d'accès entre 100 et 199 :
ACL étendues.
Sélectionner avec soin et classer logiquement les éléments de la liste
de contrôle d'accès. Préciser les protocoles IP autorisés, tous les
autres protocoles seront refusés.
Sélectionner les protocoles IP à vérifier, les autres protocoles ne
seront pas vérifiés. Plus tard dans la procédure, il sera également
possible d'indiquer un port de destination en option pour plus de
précision.
8
Configuration de listes de contrôle
d’accès
La plupart des protocoles nécessitent deux étapes de base pour
effectuer le filtrage :
la première étape est la création d'une définition de liste de contrôle
d'accès
10
Les bits de masque générique
les masques génériques et les
masques de sous-réseaux IP
fonctionnent différemment :
les 0 et les 1 du masque de sous-
réseau déterminent les portions
réseau, sous-réseau et hôte de
l'adresse IP correspondante
Les 0 et les 1 du masque générique
déterminent si les bits
correspondants de l'adresse IP
doivent être vérifiés ou ignorés à
des fins de contrôle d'accès
11
La commande any
Travailler avec des représentations décimales de bits de masque
générique peut se révéler fastidieux :
Pour les usages les plus courants de masquage générique, vous pouvez
recourir à des abréviations pour indiquer :
n'importe quelle adresse IP, tapez 0.0.0.0,
puis pour indiquer que la vérification doit ignorer (c.-à-d. autoriser sans
vérifier) toute valeur, tapez les bits de masque générique correspondants
pour cette adresse, qui seraient tous des 1 (c.-à-d. 255.255.255.255).
12
La commande host
permet également d'utiliser une abréviation dans le masque générique
13
Les listes de contrôle d'accès
standard
Vous pouvez utiliser les listes de contrôle d'accès standard pour
14
Vérification des listes de contrôle
d'accès
la commande EXEC show access-list permet d’afficher le contenu de
toutes les listes de contrôle d'accès :
Exemple :
16
Exemple 2 de configuration
bloquer le trafic d'une adresse particulière, 172.16.4.13, et permettre
l'acheminement du trafic de toutes les autres adresses
17
Exemple 3 de configuration
liste de contrôle d'accès est conçue pour bloquer le trafic d'un sous-
réseau particulier, 172.16.4.0, et permettre l'acheminement de tout
autre trafic
18
Les listes de contrôle d'accès
étendues
les listes de contrôle d'accès étendues fournissent une plus grande
gamme de contrôles que les listes d'accès standard
19
Les listes de contrôle d'accès
étendues
20
Les listes de contrôle d'accès
étendues
La forme complète de la commande access-list est :
operand] [established]
une seule liste de contrôle d'accès est permise par interface, par
suivant :
22
Exemple 1 de configuration
un exemple de liste de contrôle d'accès étendue bloquant le trafic FTP
23
Exemple 2 de configuration
Empêche que le trafic
Telnet (eq 23) dont
l'adresse d'origine est
172.16.4.0. soit acheminé
par l'interface E0. Tout le
trafic transmis depuis un
autre point vers une autre
destination peut être
acheminé par cette
interface
24
Emplacement des listes de contrôle
d'accès
La règle est de placer les
listes de contrôle d'accès
étendues le plus près
possible de la source du
trafic refusé