acl-cisco
Click here to load reader
-
Upload
amzil-reda -
Category
Documents
-
view
236 -
download
0
Transcript of acl-cisco
Les ACL de Cisco
Nicolas [email protected]
Les ACL de Cisco
A partir du moment ou vous utilisez les ACL,par défaut tout les paquets sont supprimés !
I- ACL simples
Les ACL simples permettent d'autoriser ou d'interdire de façon absolue l'accès d'un réseau.
Dans le mode configuration :
router(config)# access-list 5 permit 192.168.1.0 0.0.0.255
Structure de la ligne de commande :access-list <1 à 99> : Numéro de l'ACL, ce qui permet de l'appliquer à une interfacepermit | deny : Action : Les paquets seront acceptés ou refusés
DESTINATION<réseau> <masque-générique> | host <hôte> | any : Réseau ou hôte source.
Exemples :Interdire l'accès du réseau 192.168.2.0
router(config)# access-list 5 deny 192.168.2.0 0.0.0.255
Autoriser l'accès de la machine 192.168.0.1router(config)# access-list 5 permit host 192.168.0.1
Autoriser l'accès de n'importe quelle machine :router(config)# access-list 5 permit any
II- Application des ACL simples :
Les ACL simples s'appliquent toujours en sortie d'une interface :
ip access-group <1 – 99> : N° de l'ACL à appliquer sur l'interfacein | out : Cette ACL s'appliquera en entrée (in) ou en sortie de l'interface
Exemple :router(config)# interface serial 0/0router(config-if)# ip access-group 5 out
Ici j'applique toutes les lignes que j'avais identifiées par access-list 5
Dernières modifications le 26/05/08- Page 1 -
Les ACL de Cisco
Nicolas [email protected]
III- ACL étendues
Dans les ACL étendues nous allons préciser les informations suivantes :● protocole (au choix : ip, icmp, tcp, udp)● ip source● port source● ip destination● port destination
Structure de la ligne de commande :access-list <101 à 199> : Numéro de l'ACL, ce qui permet de l'appliquer à une interfacepermit | deny : Action : Les paquets seront acceptés ou refusés
PROTOCOLEip | icmp | tcp | udp : Protocole de niv 3 ou 4 utilisé
SOURCE<réseau> <masque> | host <hôte> | any : Réseau ou hôte source. Any veut dire tout le mondeeq | gt | lt <1 à 65535> : Si le protocole est TCP ou UDP, numéro de port source
DESTINATION<réseau> <masque> | host <hôte> | any : Réseau ou hôte destination.eq | gt | lt <1 à 65535> : Si le protocole est TCP ou UDP, numéro de port dest.
Exemples :Autoriser les accès du réseau 192.168.0.0 au serveur Web 192.168.2.19
router(config)# access-list 101 permit tcp 192.168.0.0 255.255.255.0gt 1023 host 192.168.2.19 eq 80
Autoriser n'importe qui à accéder au serveur DNS 192.168.1.9router(config)# access-list 101 permit udp any gt 1023 host 192.168.1.9 eq 53
IV- Application des ACL étendues :
Une ACL étendue s'applique toujours en entrée d'une (sous-)interface.
ip access-group <1 – 99> : N° de l'ACL à appliquer sur l'interfacein | out : Cette ACL s'appliquera en entrée (in) ou en sortie de l'interface
Exemple :router(config)# int f0/0router(config-if)# ip access-group 5 in
Ici j'applique toutes les lignes que j'avais identifiées par access-list 5
Dernières modifications le 26/05/08- Page 2 -
Les ACL de Cisco
Nicolas [email protected]
V- Vérification des ACL :
Pour voir la liste des ACL qui s'appliquent dans votre routeur, vous pouvez utiliser la commande :
router# show access-lists
Si il y a beaucoup d'ACL limitez l'affichage à une seule ACL à la fois, par exemple :router# show access-lists 5
Dernières modifications le 26/05/08- Page 3 -