Protocoles tat de lien

Protocoles de routages dtat des liaisons

Les protocoles de routage dtat des liaisons sont galement appels protocoles SPF (Shortest Path First), car ils sont conus sur la base de lalgorithme SPF dEdsger Dijkstra. Les protocoles de routage dtat de liaisons IP sont :

protocole OSPF (Open Shortest Path First) ; protocole de routage IS-IS.

Algorithme SPF
Lalgorithme de Dijkstra est en gnral dsign sous le nom dalgorithme SPF (shortest path first - chemin le plus court dabord). Cet algorithme cumule les cots de chaque chemin, depuis leur source jusqu leur destination.
Dans le schma, chaque chemin est tiquet avec une valeur de cot arbitraire. Le cot du plus court chemin pour que R2 envoie un paquet au rseau local rattach R3 est de 27. Notez que ce cot de 27 pour atteindre le rseau local rattach R3 nest pas le mme pour tous les routeurs. Chacun deux dtermine son propre cot vers chaque destination de la topologie

Chaque routeur prend connaissance de ses propres liaisons et de ses rseaux directement connects
Lorsque vous configurez et activez correctement les interfaces, le routeur reoit des informations de la part des rseaux qui lui sont directement connects. Quel que soit le protocole utilis, les rseaux directement connects font partie de la table de routage.

Paquet hello
La deuxime tape du processus de routage dtat des liaisons est la suivante : chaque routeur est responsable de la dtection de ses voisins sur les rseaux directement connects. Les routeurs avec protocoles de routage dtats des liaisons utilisent le protocole Hello pour dtecter les voisins sur ses liaisons. Un voisin est un routeur qui prend en charge le mme protocole dtat des liaisons.

Cration du paquet LSP (paquet dtat des liaisons )

Nous sommes maintenant la troisime tape du processus de routage dtat des liaisons : chaque routeur cre un paquet dtat des liaisons (LSP) contenant ltat de chacune des liaisons directement connectes. Une fois quun routeur a tabli des contiguts, il est en mesure de crer des paquets dtat des liaisons (LSP) relatifs ses propres liaisons. Voici une version simplifie des LSP de R1 :

1. R1 ; rseau Ethernet 10.1.0.0/16 ; Cot 2 2. R1 -> R2 ; rseau srie point--point ; 10.2.0.0/16 ; Cot 20 3. R1 -> R3 ; rseau srie point--point ; 10.3.0.0/16 ; Cot 5 4. R1 -> R4 ; rseau srie point--point ; 10.4.0.0/16 ; Cot 20

Diffusion des LSP aux voisins

Comme indiqu dans le schma, la quatrime tape est la suivante : chaque routeur diffuse le LSP tous ses voisins, qui stockent lensemble des LSP quils ont reus dans une base de donnes.

Chaque routeur diffuse ses informations dtats des liaisons lensemble des routeurs dtat des liaisons dans la zone de routage. Lorsquun routeur reoit un LSP dun routeur du voisinage, il lenvoie immdiatement toutes les autres interfaces, part celle par laquelle qui la reu. Ce processus cre un effet de diffusion de LSP partir de tous les routeurs de la zone de routage.

Diffusion des LSP aux voisins

Souvenez-vous que les LSP nont pas besoin dtre envoys de faon priodique. Un LSP doit tre envoy uniquement :
lors du dmarrage initial du routeur ou du lancement du processus de protocole de routage sur ce routeur ; lorsque la topologie a t modifie, notamment en cas dactivation ou de dsactivation dune liaison ou dtablissement ou de rupture dune contigut entre voisins

Cration dune base de donnes dtat de liaison

Ltape finale du processus de routage dtat des liaisons est la suivante :
chaque routeur utilise la base de donnes pour crer une carte topologique complte et calcule le meilleur chemin vers chaque rseau de destination. Une fois quil a diffus ses propres LSP via le processus dinondation dtat de liaisons, chaque routeur reoit un LSP provenant de tous les routeurs dtat de liaisons de la zone de routage. Les LSP sont stocks dans la base de donnes dtat des liaisons.

Chaque routeur de la zone de routage peut maintenant utiliser lalgorithme SPF pour construire larborescence SPF

Protocole OSPF L'lection des meilleures routes

L'algorithme du SPF de Dijsktra va traiter cette base de donnes afin de dterminer les routes les moins coteuses. Une fois le traitement ralis, chaque routeur se voit comme la racine d'un arbre contenant les meilleures routes.

(suite)

Qui va permettre de maintenir la table de routage.

Cration de la table de routage

Grce aux informations de plus court chemin dtermines par lalgorithme SPF, les chemins peuvent maintenant tre ajouts la table de routage.
La table de routage contiendra galement toutes les routes et tous les rseaux en connexion directe provenant dautres sources, par exemple les routes statiques. Les paquets seront dsormais achemins en fonction des entres de cette table de routage.

Le protocole OSPF
Le protocole Open Shortest Path First (OSPF) est un protocole de routage dtat des liaisons qui a t dvelopp pour remplacer le protocole de routage vecteur de distance RIP. RIP tait acceptable au dbut des rseaux et de lInternet, mais le fait quil choisisse la meilleure route en prenant en compte uniquement le nombre de sauts est rapidement devenu inacceptable dans des rseaux plus grands ncessitant une solution de routage plus fiable. OSPF est un protocole de routage sans classe qui utilise le concept de zones pour son volutivit.

Les principaux avantages dOSPF sur RIP sont une convergence rapide, et une volutivit vers la mise en uvre de rseaux bien plus importants.

Protocole OSPF
La notion de cot
Supposons que du routeur R1 on cherche atteindre le rseau 192.168.1.0. Dans une telle situation, RIP aurait lu la route passant par R5 puisque c'est la plus courte en termes de saut.
Cependant, imaginez que les liens reprsents sous forme d'clairs soient "rapides" (type Ethernet 100 Mbps par exemple) et que les liens "droits" soient "lents" (type Ethernet 10 Mbps par exemple). Le choix de RIP n'est plus du tout pertinent !

Protocole OSPF

La notion de cot
La mesure OSPF sappelle le cot. : Un cot est associ au niveau de la sortie de chaque interface de routeur. Ce cot est configurable par un administrateur systme. Plus le cot est faible, plus linterface sera utilise pour acheminer le trafic de donnes.
Pour calculer un cot, lIOS de Cisco cumule les bandes passantes des interfaces de sortie depuis le routeur vers le rseau de destination. chaque routeur, le cot dune interface est dtermin par le calcul de 10 la puissance 8 divis par la bande passante en bits/s. Le rsultat est appel bande passante de rfrence. On divise 10 la puissance 8 par la bande passante de linterface pour que les interfaces dont les valeurs de bande passante sont les plus hautes obtiennent un cot infrieur, aprs calcul. Souvenez-vous que, dans les mesures de routage, la route ayant le cot le moins lev est la route prfre

Protocole OSPF
La notion de cot

cumule les cots

Le cot dune route OSPF est la valeur cumule depuis un routeur jusquau rseau de destination. Par exemple, dans le schma, la table de routage de R1 affiche un cot de 65 pour atteindre le rseau 10.10.10.0/24 sur R2. 10.10.10.0/24 tant rattach une interface FastEthernet, R2 affecte la valeur 1 comme cot pour 10.10.10.0/24. R1 ajoute ensuite la valeur de cot supplmentaire de 64 correspondant lenvoi des donnes via la liaison T1 par dfaut entre R1 et R2.

Modification du cot de la liaison

Lorsque linterface srie ne fonctionne pas rellement la vitesse par dfaut dune connexion, linterface a besoin dune modification manuelle. Les deux cts de la liaison doivent tre configurs pour avoir la mme valeur. Les commandes dinterface bandwidth ou ip ospf cost permettent datteindre cet objectif

Le protocole Hello
Le premier type de paquet OSPF est le paquet hello. Les paquets Hello sont utiliss pour : 1. dcouvrir des voisins OSPF et tablir des contiguts ;

2. annoncer les paramtres sur lesquels les deux routeurs doivent saccorder pour devenir voisins ;
3. dfinir le routeur dsign (DR) et le routeur dsign de secours (BDR). Dans la plupart des cas, les paquets OSPF Hello sont envoys en multidiffusion une adresse 224.0.0.5

Protocole Hello
1- Dtection des voisins
Dans le schma, les routeurs OSPF envoient des paquets Hello sur toutes les interfaces OSPF pour dterminer sil existe des voisins sur ces liaisons.

Les informations contenues dans les paquets Hello OSPF comprennent lID routeur OSPF du routeur qui envoie le paquet Hello.
La rception dun paquet Hello OSPF confirme un routeur quil existe un autre routeur OSPF sur la liaison. OSPF tablit ainsi des contiguts avec le voisin.

Par exemple, sur le schma, R1 tablit une contigut avec R2 et R3.

Protocole Hello
2- Intervalles des paquets Hello et Dead OSPF
Avant que deux routeurs puissent former une contigut de voisinage OSPF, ils doivent sentendre sur des valeurs tels que : lintervalle Hello OSPF indique la frquence laquelle un routeur OSPF envoie des paquets Hello. Par dfaut, les paquets OSPF Hello sont envoys toutes les 10 secondes. lintervalle Dead (arrt) Lintervalle Dead est la priode, exprime en secondes, pendant laquelle le routeur attendra de recevoir un paquet Hello avant de dclarer le voisin hors service . Cisco utilise par dfaut le quadruple de lintervalle Hello.

Si lintervalle Dead expire avant que les routeurs ne reoivent un paquet Hello,
OSPF supprime le voisin de sa base de donnes dtat des liaisons. Le routeur diffuse alors linformation dtat des liaisons concernant le voisin hors service vers toutes les interfaces OSPF.

Protocole Hello
Configuration des compteurs OSPF
Les routeurs OSPF doivent disposer des mmes intervalles HELLO et des mmes intervalles d'arrt (dead) pour changer des informations. Par dfaut, lintervalle darrt est quatre fois plus long que lintervalle HELLO. Cela signifie que le routeur aurait l'opportunit d'effectuer quatre envois de paquet HELLO avant dtre dclar arrt.

Protocole Hello
Configuration des compteurs OSPF Pour configurer les intervalles HELLO et les intervalles darrt sur une interface, utilisez les commandes suivantes:
Router(config-if)#ip ospf hello-interval secondes Router(config-if)#ip ospf dead-interval secondes

Protocole Hello
3- Slection dun routeur dsign et dun routeur dsign de secours Les slections de DR/BDR nont pas lieu dans les rseaux point point. Donc, dans une topologie standard trois routeurs, R1, R2 et R3, il ny a pas choisir de DR ou de BDR, car les liaisons existant entre ces routeurs ne sont pas des rseaux accs multiple.

Rseau accs multiple

Un rseau accs multiple est un rseau comportant plus de deux priphriques sur le mme support partag. Les rseaux locaux Ethernet constituent un exemple de rseau accs multiple de diffusion. Ce sont des rseaux de diffusion car tous les priphriques du rseau peuvent voir toutes les trames. Sur les rseaux point point, en revanche, le rseau ne comporte que deux priphriques, un chaque extrmit.

Rseau accs multiple

nous avons vu que les routeurs dtat des liaisons diffusent leurs paquets dtat des liaisons lorsque OSPF est initialis ou quune modification de topologie intervient. Dans le cadre dun rseau accs multiple, cette diffusion peut devenir excessive.

Solution routeur dsign (DR)

La solution pour grer le nombre de contiguts et la diffusion des LSA sur un rseau accs multiple est le routeur dsign (DR). Dans les rseaux accs multiple, OSPF slectionne un routeur dsign (Designated Router - DR) comme point de collecte et de distribution des LSA envoyes et reues. Un routeur dsign de secours (Backup Designated Router - BDR) est galement choisi en cas de dfaillance du routeur dsign. Tous les autres routeurs deviennent des DROthers (ce qui signifie quils ne sont ni DR, ni BDR).

Elire le routeur dsign

Dans une zone OSPF, l'un des routeurs doit tre lu "routeur dsign" (DR pour Designated Router) et un autre "routeur dsign de secours" (BDR pour Backup Designated Router). Le DR est un routeur particulier qui sert de rfrence au sujet de la base de donnes topologique reprsentant le rseau. Pourquoi lire un routeur dsign ? Cela rpond trois objectifs : 1. rduire le trafic li l'change d'informations sur l'tat des liens (car il n'y a pas d'change entre tous les routeurs mais entre chaque routeur et le DR) ; 2. amliorer l'intgrit de la base de donnes topologique (car il y a une base de donnes unique) ; 3. acclrer la convergence

Slection du DR/BDR
Comment le routeur dsign et le routeur dsign de secours sont-ils slectionns ? On applique les critres suivants : 1. DR : est le routeur avec la priorit dinterface OSPF la plus leve.

2. BDR : Il sagit du routeur dont la priorit dinterface OSPF est la seconde valeur la plus leve. 3. Si les priorits dinterface OSPF sont gales, cest le routeur dont lID est le plus lev qui est choisi.

Exemple de DR/BDR

lID de routeur
LID de routeur OSPF permet didentifier de faon unique chaque routeur du domaine de routage OSPF. Les routeurs Cisco dfinissent leur ID de routeur en utilisant trois critres, suivant la priorit suivante :
1. Ladresse IP configure laide de la commande router-id du protocole OSPF. Router(config)#router ospf process-id Router(config-router)#router-id ip-address 2. Si router-id nest pas configur, le routeur choisit ladresse IP la plus leve parmi ses interfaces de bouclage IP. Router(config)#interface loopback number Router(config-if)#ip address ip-address masque de sous-rseau

3. Si aucune interface de bouclage nest configure, le routeur choisit ladresse IP active la plus leve parmi ses interfaces physiques.

Modification de la priorit
contrler le choix de ces routeurs laide de la commande dinterface ip ospf priority.
Router(config-if)#ip ospf priority {0 - 255}

Lors de notre discussion prcdente, la priorit OSPF tait identique. et ce, parce que la valeur de priorit par dfaut tait de 1 pour toutes les interfaces de routeur.
Ctait donc lID de routeur qui dterminait le DR et le BDR. Mais si vous remplacez la valeur par dfaut, 1, par une valeur plus leve, le routeur dont la priorit est la plus leve devient le DR, et celui qui a la seconde priorit devient le BDR. Lorsquelle est attribue un routeur, la valeur 0 empche sa slection en tant que DR ou BDR.

Commande router OSPF

OSPF est activ laide de la commande de configuration globale router
ospf process-id.
R1(config)#router ospf 1 R1(config-router)#

Le process-id (id de processus) est un nombre compris entre 1 et 65535 choisi par ladministrateur rseau.

Le process-id na quune signification locale, ce qui veut dire quil na pas

correspondre celui des autres routeurs OSPF pour tablir des contiguts avec des voisins, contrairement ce qui se passe dans le

protocole EIGRP. Le numro de systme autonome ou lID de processus

EIGRP doit correspondre pour que deux voisins EIGRP deviennent contigus.

Commande network
La commande network utilise avec le protocole OSPF a la mme fonction que lorsquelle est utilise avec les autres protocoles de routage IGP : Toute interface de routeur qui correspond ladresse rseau dans la commande network est active pour envoyer et recevoir des paquets OSPF. Ce rseau (ou sous-rseau) sera inclus dans les mises jour de routage OSPF.

OSPF Le concept de zone (area)

Contrairement RIP, OSPF a t pens pour supporter de trs grands rseaux. Mais, qui dit grand rseau, dit nombreuses routes. Donc, afin d'viter que la bande passante ne soit engloutie dans la diffusion des routes, OSPF introduit le concept de zone (area). Le rseau est divis en plusieurs zones de routage qui contiennent des routeurs et des htes. Chaque zone, identifie par un numro, possde sa propre topologie et ne connat pas la topologie des autres zones. Chaque routeur d'une zone donne ne connat que les routeurs de sa propre zone ainsi que la faon d'atteindre une zone particulire, la zone numro 0. Toutes les zones doivent tre connectes physiquement la zone 0 (appele backbone ou rseau fdrateur). Elle est constitue de plusieurs routeurs interconnects. Le backbone est charg de diffuser les informations de routage qu'il reoit d'une zone aux autres zones. Tout routage bas sur OSPF doit possder une zone 0.

(suite) OSPF Le concept de zone (area)

Sur la figure, le rseau est dcoup en trois zones dont le backbone. Les routeurs de la zone 1, par exemple, ne connaissent pas les routeurs de la zone 2 et encore moins la topologie de la zone 2. L'intrt de dfinir des zones est de limiter le trafic de routage, de rduire la frquence des calculs du plus court chemin par l'algorithme SPF(ce qui acclre la convergence) .

OSPF Le concept de zone (area)

Les routeurs R1 et R4 sont particuliers puisqu'ils sont " cheval" entre plusieurs zones (on les appelle ABR pour Area Border Router ou routeur de bordure de zone).

Ces routeurs maintiennent une base de donnes topologique pour chaque zone laquelle il sont connects.
Les ABR sont des points de sortie pour les zones ce qui signifie que les informations de routage destines aux autres zones doivent passer par l'ABR local la zone. L'ABR se charge alors de retransmettre les informations de routage au backbone. Les ABRs du backbone ensuite redistribueront ces informations aux autres zones auxquelles ils sont connects.

Configuration du protocole de routage OSPF

Les rseaux IP sont annoncs de la faon suivante dans OSPF: Router(config-router)#network gnrique area id-zone adresse masque-

Chaque rseau doit pouvoir tre identifi par la zone auquel il appartient. Ladresse rseau peut tre celle dun rseau entier, dun sous-rseau ou ladresse de linterface. Le masque gnrique reprsente lensemble dadresses htes que le segment prend en charge

Vrification OSPF
show ip ospf neighbor

La commande show ip ospf neighbor peut tre utilise pour vrifier et rparer les relations de voisinage OSPF
Address - adresse IP de linterface du voisin laquelle ce routeur est directement connect.

Neighbor ID ID du routeur voisin.

Interface - interface sur

laquelle ce routeur a tabli une contigut avec son voisin.

Pri - priorit OSPF de linterface.

State - tat OSPF de linterface. Ltat FULL signifie que le routeur et son voisin ont des bases de donnes dtat des liaisons OSPF identiques..

Dead Time - dure de temps pendant laquelle le routeur attendra un paquet Hello OSPF du voisin avant de dclarer le voisin hors service. Cette valeur est rinitialise lorsque linterface reoit un paquet Hello.

Vrification OSPF
show ip protocols
Comme indiqu dans la figure, la commande show ip protocols offre un moyen rapide pour vrifier les donnes de configuration OSPF, notamment lID de processus OSPF, lID de routeur, les rseaux dannonce du routeur, les voisins desquels le routeur reoit des mises jour et la distance administrative par dfaut, savoir 110 pour le protocole OSPF.

Vrification OSPF
show ip ospf
La commande show ip ospf peut galement tre utilise pour examiner lID de routeur et lID de processus OSPF ainsi que la dernire fois o lalgorithme SPF a t calcul

Vrification OSPF
show ip ospf interface

La mthode la plus rapide pour vrifier les intervalles Hello et Dead est dutiliser la commande show ip ospf interface

Vrification OSPF
show ip route
Comme vous le savez, le moyen le
plus rapide de vrifier la convergence OSPF est de regarder la table de routage de chacun des routeurs de la topologie.

La commande show ip route peut tre

utilise pour vrifier quOSPF envoie

et reoit bien des routes via OSPF. Le O figurant au dbut de chaque route indique que la route source est OSPF

Redistribution dune route par dfaut

Configuration de lauthentification OSPF

Par dfaut les informations sont reues par les routeurs sans authentification de lexpditeur.
On peut activer un mcanisme dauthentification des messages OSPF. Il y a deux types dauthentification : dune part par simple mot de passe et dautre part par un processus de cryptage(Message Digest authentication : MD5). Ces authentifications seront partages au sein dune mme zone.

Configuration de lauthentification OSPF

- Authentification par simple mot de passe : tous les routeurs se partagent un mot de passe qui passera en clair. Le mot de passe peut comporter jusqu huit caractres. Utilisez la syntaxe de commande suivante pour configurer lauthentification OSPF: Router(config-if)#ip ospf authentication-key mot de passe Une fois le mot de passe configur, lauthentification doit tre active: Router(config-router)#area numro-de-zone authentication

Configuration de lauthentification OSPF

Il est recommand de crypter les informations dauthentification. Pour envoyer des informations dauthentification cryptes et pour renforcer la scurit

Authentification MD5 : utilise des paramtres qui sont une cl (key : La cl est un mot de passe alphanumrique qui comporte jusqu seize caractres) key-id (L'identificateur-de-cl est un identifiant dont la valeur est comprise entre 1 et 255 ) type de cryptage ( o 0 signifie aucun et o 7 signifie propritaire)
Ces paramtres sont configurs sur chaque routeur. Les routeurs voisins doivent utiliser le mme identifiant de cl et la mme valeur de cl pour pouvoir sauthentifier

Configuration de lauthentification OSPF

Utilisez la syntaxe de commande de configuration dinterface suivante: Router(config-if)#ip ospf message-digest-key identificateur-de-cl type-dencryption md5 cl

Format du message OSPF

ID du routeur source Zone dorigine dun paquet

Utilis pour slectionner le DR et BDR

Nombre de seconde entre les intervalle hello du routeur metteur

ID du routeur DR

Rpertorie les ID du routeur OSPF des routeurs voisins

ID du routeur BDR

Le masque associ linterface mettrice

Les caractristiques des protocoles Etudis

Les listes de contrle d'accs (ACL)

Les listes de contrle daccs

A quoi a sert Comment a marche ACL standard , tendue et nomme Les masques gnriques (Wildcard Masks) La configuration des ACLs.

ACL - A quoi a sert

Ajoute les fonctions de firewall au routeur
School backbone
Email Server DNS server Application Server Library Server Admin. Server

Wan (Internet) 10.1.112.0

E0

Router

E1

10.1.128.0

10.1.112.0

Contrler le trafic lintrieur dun rseau local Contrler le trafic depuis lextrieur (WAN) vers lintrieur d un rseau local

ACL - Comment a marche

Filtre les paquets en utilisant des lments des couches 3 (adresses IP) et 4 (numros de port des applications) de TCP-IP ; Par dfaut, une liste de contrle non paramtre refuse tous les accs.

Router

Quelle adresse ?

192.168.10.3

OK, circulez !

Le paramtrage de lACL dcide quel hte ou groupe dhte peut (permit) ou ne peut pas (deny) transiter par le routeur.

ACL - Comment a marche (2)

Les ACLs sont cres en mode de configuration globale. Elles doivent ensuite tre affecte un (ou plusieurs) ports.

Router

Grce aux masques gnriques (wildcard mask), le contrle peut sappliquer un rseau, un sousrseau, un hte. ACL Ne contrle pas les paquets mis par le routeur lui-mme.

Les paramtres In et Out

(Inbound-Outbound)
Par dfaut, ce paramtre est configur sur out (vers le rseau) Le paramtre In (vers le routeur) ou Out se place sur linterface laquelle on veut appliquer la liste daccs

In/Out
Internet

E0

Router

S0

Quel port choisir

Deux solutions pour bloquer A vers B
ACL 1 Deny A Attribut ACL 1 linterface E0 in
B
E1

A
E0
Router

C
Internet

S0

ACL 1 Deny A Attribut ACL 1 linterface E1 out

Le processus de contrle

ACL standard, tendue ou nomm ?

Les listes de contrles standards filtrent laccs :
partir de ladresse source uniquement .

Les listes de contrle tendues peuvent filtrer laccs :

selon ladresse de source et de destination ; selon les types de protocole de transport (TCP, UDP) et le numro de port (couche application).

ACL standard , tendue ou nomm ?

Les listes de contrle daccs nommes IP permettent dattribuer des noms aux listes daccs standard et tendues la place des numros. Les avantages procurs par une liste daccs nomme sont les suivants: Identifier de manire intuitive une liste daccs laide dun nom alphanumrique. Les ACL nommes permettent de modifier des listes de contrle daccs sans avoir les supprimer, puis les reconfigurer. Il est important de noter quune liste daccs nomme permet de supprimer des instructions, et dinsrer des instructions uniquement la fin de la liste. Un mme nom ne peut pas tre utilis pour plusieurs listes de contrle daccs.

Cration dACL
Si on utilise un numro on aura le choix dans une plage de nombres en fonction du protocole de couche3.

1re partie de cration dACL

Utilis la commande access-list, suivi des paramtres appropris. Pour crer une liste daccs access-list no_acl [tcp|udp|icmp|ip] [permit|deny] ip_src m_src ip_dest m_dst [expr] Les numros d'ACL On spcifie le type de paquet (TCP, UDP, ICMP). Le type IP est la runion des trois autres. m_src et m_dst sont des masques associs ip_src ou ip_dest. Ils permettent de dcrire un ensemble d'adresses.

Attention: ces masques sont totalement indpendants des masques de sous-rseaux qui peuvent tre associs ip_src ou ip_dst.
L'expression permet de dcrire des oprations sur les numros de port du destinataire du paquet.

Seconde partie de la cration

consiste les assigner linterface qui convient, sous TCP/IP, les ACL sont affectes une ou plusieurs interfaces et peuvent filtrer le trafic entrant ou sortant laide de la commande ip access-group disponible partir du mode de configuration dinterface interface ethernet 0 ip access-group no_acl [in|out]

ACL standard
Les listes daccs standard vrifient ladresse dorigine des paquets IP qui sont routs. Router(config)#access-list access-list-number {deny | permit | remark} source Source = Numro du rseau ou de lhte do provient le paquet Les commentaires remark permettent de comprendre plus facilement les listes d'accs. Chaque commentaire est limit 100 caractres Exemple :

Router(config)#access-list 1 permit 171.69.2.88

Router(config)#Liste d'accs 1 remark Permet seulement au poste de travail de

ahmed de passer access-list 1 permit 171.69.2.88

Permission ou refus
Par dfaut, ds quune liste daccs est cre, elle refuse le passage tout ce qui nest pas spcifiquement autoris De faon implicite (cela napparat pas la ligne de commande) la liste de contrle daccs se termine par linstruction refuse tout (deny any). En gnral, ladministrateur devrait donner des permissions (permit) plutt que des interdictions (deny).

Le masque gnrique (Wildcard Mask

Il ne faut pas confondre un masque gnrique (wilcard mask) avec un masque de rseau.

Un masque gnrique est un masque de filtrage. Quand un bit aura une valeur de 0 dans le masque, il y aura

vrification de ce bit sur l'adresse IP de rfrence. Lorsque

le bit aura une valeur de 1, il n'en y aura pas. Un masque de rseau est un masque de division ou de regroupement.

Exemples de masque gnrique

Les masques gnriques

(Wildcard Masks)
Utiliss pour identifier les cibles des ACLs. Dans la ligne suivante :
Router (config)# access-list 11 deny 192.168.18.0 0.0.0.255

1. Le masque gnrique indique que laccs est refus tous les postes du rseau 192.168.18.0

Les masques gnriques (2)

Addresse

1100 0000 . 1010 1000 . 0001 0010 . 0000 0000 0000 0000 . 0000 0000 . 0000 0000 . 1111 1111
Masque gnrique Inverse du MSR

Router (config)# access-list 11 permit 192.168.18.0 0.0.0.255

Les 0 signifient que le nombre doit tre pris en compte (match). Les 1 indiquent que le nombre doit tre ignor. Dans ce cas, lnonc ignore tout ce qui concerne la partie hte de ladresse.

Les masques gnriques (3)

Addresse

1100 0000 . 1010 1000 . 0001 0010 . 0000 0000 0000 0000 . 0000 0000 . 0000 0000 . 1111 1110
Masque gnrique Router (config)# access-list 11 permit 192.168.18.0 0.0.0.254

Ici, lnonc ignore tout ce qui concerne la partie hte de ladresse, sauf le dernier bit. Tous les htes pairs du rseau se voient autoriser laccs.

Les masques gnriques (4)

Addresse

1100 0000 . 1010 1000 . 0001 0010 . 0000 0101 0000 0000 . 0000 0000 . 0000 0000 . 0000 0000
Masque gnrique Router (config)# access-list 11 permit 192.168.18.5 0.0.0.0

Avec ce masque, les 32 bits de ladresse doivent tre prises en compte (rseau et hte) Dans ce cas, lhte 192.168.18.5 est le seul se voir autoriser laccs.

Les masques gnriques (5)

Router (config)# access-list 11 permit any

Autorise laccs tous

(0.0.0.0 255.255.255.255)

Router (config)# access-list 11 host 192.168.16.1

Autorise laccs pour le poste 192.168.16.1 uniquement (192.168.16.1 0.0.0.0)

ACL tendue
Les listes daccs tendues vrifient les adresses
dorigine et de destination du paquet, mais peuvent aussi vrifier les protocoles de transport(TCP, UDP) et les numros de port(couche application). Cela donne une plus

grande souplesse pour dcrire ce que vrifie la

liste de contrle daccs.

ACL tendue
Source et le destination avec leurs masque gnrique

spcifie le numro en dcimal ou le nom d'un port TCP ou UDP. Un numro de port est un nombre compris entre 0 et 65535

Les lignes de commandes

Refuse tout accs aux membres du rseau 192.168.128.0 vers toutes les destinations
Router (config)# access-list 101 deny ip 192.168.128.0 0.0.0.255 any Router (config)# access-list 101 permit ip any any

Applique les restrictions daccs linterface E1 vers lintrieur Router (config)# int e1 Router (config-if)# ip access-group 101 in

Les lignes de commandes

Autorise laccs au Web aux postes dsigns
(10.1.128.1 10.1.128.254)
Router (config)# access-list 102 permit tcp 10.1.128.0 0.0.0.255 host 10.1.96.0 eq 80

Applique les restrictions daccs linterface E0 vers lintrieur

Router (config)# int e0 Router (config-if)# ip access-group 102 in

Les lignes de commandes

Refuse tout accs depuis toutes les sources vers toutes les destinations
Router (config)# access-list 103 deny ip any any

Applique les restrictions daccs linterface S0 vers lintrieur

Router (config)# int s0 Router (config-if)# ip access-group 103 in

ACL nomm
Les listes de contrle daccs nommes IP permettent dattribuer des noms aux listes daccs standard et tendues la place des numros. Les avantages procurs par une liste daccs nomme sont les suivants: Identifier de manire intuitive une liste daccs laide dun nom alphanumrique. Les ACL nommes permettent de modifier des listes de contrle daccs sans avoir les supprimer, puis les reconfigurer. Il est important de noter quune liste daccs nomme permet de supprimer des instructions, et dinsrer des instructions uniquement la fin de la liste. Un mme nom ne peut pas tre utilis pour plusieurs listes de contrle daccs. Une liste de contrle daccs nomme est cre avec la commande ip access-list

Ip access-list (extended|standard) name

Exemple ACL Nomm

Router#configure terminal Router(config)#ip access-list extended test

Router (config-ext-nacl)#permit ip host 2.2.2.2 host 3.3.3.3

Router (config-ext-nacl)#permit tcp host 1.1.1.1 host 5.5.5.5 eq WWW Router (config-ext-nacl)#permit icmp any any Vrification de la cration

Modification de lACL

Vrification de la cration

Vrification des ACL

La commande show ip interface affiche les informations relatives linterface IP et indique si des listes de contrle daccs sont configures. La commande show access-lists affiche le contenu de toutes les listes de contrle daccs sur le routeur.
Pour afficher une liste spcifique, ajoutez le nom ou le numro de la liste de contrle daccs en tant quoption de cette commande. La commande show running-config permet galement dafficher les listes daccs dun routeur, ainsi que les informations daffectation aux interfaces.