ACL 

Introduction :

- Filtrer les accès

o Aux réseaux
o Au routeur lui-même
- Relativement à :
o Adresse IP
 Source
 Destination
o Protocole
o Numéro de port
- Sur un trafic entrant ou sortant
- Analysées de manière séquentielle
o L’ordre des ACLs est donc important
o Du plus précis au plus générique
- Tout trafic est interdit par défaut

ACL standards :

- Uniquement sur les adresses IP source

 Access-list number {permit|deny} {host|source source-wildcard|any}
o Number : entre 1 et 99 ou 1300 et 1999
- Exemple :
o Interdire l’accès seulement à tous les membres du réseau 192.168.1.0/24 ainsi qu’a
l’ôte 192.168.2.10.
 Access-list 1 deny 192.168.1.0 0.0.0.255
 Access-list 1 deny host 192.168.2.10
 Access-list 1 permit any

ACL étendues :

- Sur les adresses IP source, de destination, le protocole ou le numéro de port.

 Access-list number {deny|permit} protocole source masque-source [operateur [port}}
destination masque-destination [operateur [port [established][log]
o Opérateurs :
 Eq : égal à
 Neq : différent de
 Gt : plus grand que
 Lt : plus petit que
o Numbre : entre 100 et 199 ou 200 et 2699
- Exemple :
o Interdire tout paquet IP à destination de l’hote 192.168.2.10
 Access-list 101 deny ip any host 192.168.2.10
o Interdire tout segment TCP de port source suppérieur à 1023 et à destination du port
23 de l’hôte 192.168.2.10
 Access-list 101 deny tcp any gt 1023 host 192.168.2.10 eq 23
 oInterdire tout segment TCP à destination du port 80 et en provenance du réseau
192.168.10.0/24
 Access-list 101 deny tcp 192.168.10.0 0.0.0.255 any eq http

Description d’une ACL :

- Il est possible de définir une description d’ACL pour plus de clarté

 Access-list 101 remark Description de l’ACL

ACLs nommées :

- Les ACLs numérotées sont complexe à administrer dés que leur nombre devient important et
qu’elles deviennent complexes :
o Il est impossible de les modifier
o La seule solution étant de la supprimer et de la réécrire
- Une ACL nommée est en revanche modifiable
 Ip access-list extended nom
 {deny|permet} protocole source masque-source …
o Pour ajouter une règle, il suffit d’utiliser la syntaxe des ACLs étendues numérotées,
sans « access-list number »
 Et d’utiliser la commande « no » pour la supprimer

Appliquer une ACL à une interface :

 Interface fastethernet 0/0

 Ip access-group {number|name} {in|out}
o Utiliser la commande « no » pour désactiver l’ACL sur l’interface.

Commande d’information :

- Afficher une ACL :

 Show access-lits [number|name]
- Afficher la configuration d’une interface :
 Show run interface FastEthernet 0/0

NAT :

Introduction :

Traduction d’adresse IP :

- Faire correspondre une adresse publique unique pour un réseauprivé

- Le nombre d’adresse publiques étant limité
o Ex : démarche de demande de bloc d’IP au RIPE NCC via OVH

Types de NATing :

- Statique :
o Faire correspondre une adresse publique à une adresse privée.
- Dynamique :
o Crée dynamiquement les translations dans un pool d’adresses publiques.
 - PAT :
o Translation basée sur les ports TCP/UDP.

Réseau privé/publique :

- Première étape de tout type de nating

o Le NAT ne prenant effet que quand un paquet est routé de l’intérieur vers l’extérieur,
ou inversement.
o Il est donc nécessaire de définir cet intérieur et ces extérieur
- Par Interface :
 Ip nat {inside|outside}

NAT statique :

- Faire correspondre une adresse publique à une adresse privée.

 Ip nat inside source static 192.168.1.10 201.55.4.8

NAT Dynamique :

- Les adresses publiques sont automatiquement choisies dans un pool d’adresse

- Création du pool d’adresse :
o Ip nat pool POOL-NAT-LAN1 201.55.4.1 201.49.10.10 netmask 255.255.255.240
- Création de l’ACL :
 Access-list 1 deny 192.168.1.10
 Access-list 1 permit 190.168.1.0 0.0.0.255
- Activation du NAT :
 Ip nat inside source list 1 pool POOL-NAT-LAN1

NAT dynamique PAT :

- Nécessaire si le nombre d’adresses publique est plus faible que celui d’adresse privées.
o Translation du port source, afin d’identifier le client.
- Ajouter simplement « overload » à la configuration précédente :
 Ip nat inside source list 1 pool POOL-NAT-LAN1 overload

NAT dynamique PAT pour une adresse publique unique :

- Configuration la plus courante sur les réseaux de petite dimension :

o Une seule adresse IP fixe sur Internet par exemple.
- Définir un pool d’adresse n’est donc plus adapté :
o Il suffira alors de se baser sur l’adresse de l’interface « outside ».
 Ip nat inside source list 1 interface serial 0/0 overload

Commande d’information :

Voir les translations :

  Show ip nat translations

Passer en mode debug :

 Debug ip packet