Exemple de liste d’accès standard sur le routeur Cisco

R1(config)#ip route 2.2.2.0 255.255.255.0 192.168.12.2

R2(config)#ip route 1.1.1.0 255.255.255.0 192.168.12.1

Si vous choisissez d’utiliser un protocole de routage pour annoncer des réseaux, veillez à ce que votre liste d’accès ne bloque pas votre trafic RIP, EIGRP ou OSPF

Commençons maintenant avec une liste d’accès standard! Je vais créer quelque chose sur R2 qui n’autorise que le trafic du réseau 192.168.12.0/24:

R2(config)#access-list 1 permit 192.168.12.0 0.0.0.255

Cette entrée de permis unique suffira. Gardez à l’esprit qu’au bas de la liste d’accès se trouve un « refuser tout”. On ne le voit pas mais il est là. Appliquons cette liste d’accès entrante sur R2:

R2(config)#interface fastEthernet 0/0R2(config-if)#ip access-group 1 in

Utilisez la commande ip access-group pour l’appliquer à une interface. Je l’ai appliqué entrant avec le mot clé in.

R2#show ip interface fastEthernet 0/0FastEthernet0/0 is up, line protocol is up Internet address is 192.168.12.2/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1

Vous pouvez vérifier que la liste d’accès a été appliquée avec la commande show ip interface. Ci-dessus, vous voyez que la liste d’accès 1 a été appliquée de manière entrante.

Maintenant, générons du trafic…

R1#ping 192.168.12.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 ms

Notre ping est réussi; vérifions la liste d’accès:

R2#show access-lists Standard IP access list 1 10 permit 192.168.12.0, wildcard bits 0.0.0.255 (27 matches)

Comme vous pouvez le voir, la liste d’accès indique le nombre de correspondances par instruction. Nous pouvons l’utiliser pour vérifier notre liste d’accès. Permettez-moi de vous montrer quelque chose d’utile lorsque vous jouez avec des listes d’accès:

R1#ping 192.168.12.2 source loopback 0Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:Packet sent with a source address of 1.1.1.1 U.U.USuccess rate is 0 percent (0/5)

Lorsque vous envoyez un ping, vous pouvez utiliser le mot-clé source pour sélectionner l’interface. L’adresse IP source de ce paquet IP est maintenant 1.1.1.1 et vous pouvez voir que ces pings échouent car la liste d’accès les supprime.

R2#show access-lists Standard IP access list 1 10 permit 192.168.12.0, wildcard bits 0.0.0.255 (27 matches)

Vous ne les verrez pas avec la commande show access-list car « refuser tout” les supprime.

Et si je voulais quelque chose de différent? Disons que je veux refuser le trafic du réseau 192.168.12.0 / 24 mais autoriser tous les autres réseaux ? Je peux faire quelque chose comme ça: