Maybaygiare.org

Blog Network

Cisco CCNA- Listes d’accès étendues -Configuration et placement

Une liste d’accès étendue est créée avec la commande access-list et ensuite appliquée à l’interface à l’aide de la commande access-group. Standard ACL syntax and description are shown below

Ciscoasa(config)# access-list access-list-number {deny | permit} protocol source-address

destination-address

Syntax Description

access-list-number

Identifies an access list by number as a standard or extended list.

Permet également la création et la séparation de plusieurs listes d’accès.

refuser

Refuse l’accès si les conditions correspondent.

permis

Permet l’accès si les conditions correspondent.

Protocole

Nom ou numéro d’un protocole Internet tel que IP, TCP, UDP, EIGRP, OSPF etc

source

Spécifie l’adresse IP/réseau à correspondre à l’adresse IP source du paquet. Utilisez le mot clé any comme abréviation d’une source et d’un caractère générique source de 0.0.0.0 255.255.255.255.

source – caractère générique

(facultatif) Bits génériques à appliquer à la source

destination

Spécifie l’adresse IP/réseau à apparier sur l’adresse IP de destination du paquet. Utilisez le mot clé any comme abréviation d’une destination et d’un caractère générique destination de 0.0.0.0 255.255.255.255.

destination – caractère générique

(Facultatif) Bits génériques à appliquer à la destination

log

Provoque un message d’enregistrement informatif sur le paquet qui correspond à l’entrée à envoyer à la console.

Log-input

(Facultatif) Inclut l’interface d’entrée et l’adresse MAC source ou VC dans la sortie de journalisation.

Dans Cisco IOS, les ACL étendues peuvent avoir des nombres compris entre 100 et 199 et entre 2000 et 2699. Des ACL étendues devraient être appliquées près de la source des paquets de sorte qu’un paquet soit refusé près de la source pour économiser des ressources de routeur et de la bande passante plutôt qu’il soit transféré près de la destination et éventuellement refusé. Nous utiliserons le réseau représenté sur la figure ci-dessous pour expliquer ce concept.

Notre tâche consiste à configurer le réseau de telle sorte que l’hôte 20.1.1.2 ne puisse pas accéder à 10.1.1.2, nous allons d’abord créer une liste d’accès comme indiqué ci-dessous

Ciscoasa(config) #access-list 101 refuser l’hôte ip 20.1.1.2 hôte 10.1.1.2

Ciscoasa(config) # access-list 101 autoriser l’adresse ip n’importe quelle

et puis nous appliquerons cette liste d’accès à une interface qui traitera les paquets entrants et s’il y a correspondance, elle déposera les paquets. Étant donné que les ACL étendues incluent suffisamment d’informations pour correspondre correctement au bon paquet lorsque vous pouvez les placer n’importe où dans le réseau, mais le bon sens nous dicte de les placer près de la source pour plus d’efficacité, car les placer loin de la source consommera inutilement les ressources réseau.

Exemples de configuration

Cet exemple se concentre sur les applications d’ACL étendues. Nous utiliserons le réseau dans la figure ci-dessus pour expliquer divers exemples de configuration d’ACL étendues. Tout d’abord, nous utiliserons une ACL étendue pour restreindre l’accès de l’hôte 1 au serveur FTP avec l’adresse IP 20.1.1.10 connecté au réseau local sur l’interface R5 E0/0.

R1(config) # access-list 101 refuser l’hôte tcp 10.1.1.2 hôte 20.1.1.10 eq FTP

R1(config) # access-list 101 autoriser l’adresse ip quelconque

R1(config) # interface ethernet0/0

R1(config) #access-group 101 dans

La configuration ci-dessus configure R1 pour restreindre l’accès à la liste d’accès Paquets FTP provenant de l’hôte 10.1.1.2 et destinés au serveur FTP 20.1.1.10 et permettant toutes les autres communications.

Il existe également plusieurs autres exemples d’ACL étendues en raison de leur capacité à faire correspondre plusieurs champs d’un paquet. Par exemple, nous pouvons configurer un ACL sur R1 pour refuser complètement l’hôte 10.1.1.2, l’isolant ainsi de l’interréseau complet.

R1(config) # access-list 110 refuser l’hôte ip 10.1.1.2 any

R1(config) #access-list 110 autoriser l’ip any any

R1(config) # interface ethernet0/0

R1(config) #access-group 101 dans

La configuration ci-dessus configure R1 pour restreindre tous les paquets provenant de l’hôte 10.1.1.2 et permettre toutes les autres communications isolant ainsi l’hôte de l’interréseau.

Cela nous amène à la fin de cette leçon dans laquelle nous avons couvert les ACL étendues, il est très important que nous ayons à la fois les connaissances théoriques et pratiques des ACL étendues pour maîtriser le sujet.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.