|
Page 3 sur 6 c - Créer
une liste d’accès numérotée IPX étendue
Il est possible
que la liste de contrôle d'accès standard (numérotée de
800 à 899) n'offre pas le filtrage de trafic dont vous avez besoin.
Les listes de
contrôle d'accès standard filtrent le trafic en fonction d'une
adresse d'origine et d'un masque. Ces listes permettent également d'autoriser
ou de refuser l'ensemble des protocoles IP.
Il se peut que
vous ayez besoin d'une méthode plus précise pour contrôler
le trafic et l'accès.
Les listes de
contrôle d'accès IPX étendues sont utilisées pour vérifier
des conditions, car elles fournissent une plus grande gamme de contrôles
que les listes d'accès standard.
Ainsi, vous
pouvez utiliser une liste de contrôle d'accès étendue pour autoriser
le trafic Web, mais refuser le trafic FTP ou Telnet en provenance de réseaux
externes.
Les listes de
contrôle d'accès étendues vérifient les adresses d'origine
et de destination d'un paquet. Elles peuvent également vérifier des protocoles
et des numéros de port particuliers, ainsi que d'autres paramètres.
L'acheminement
des paquets peut être autorisé ou refusé en fonction de leur
origine et de leur destination.
Exemple :
La liste de contrôle d'accès étendue peut autoriser le trafic de messagerie
issu de l'interface E0 vers des destinations S0 données tout en refusant
des connexions à distance ou des transferts de fichiers.
Avant qu'un
paquet puisse être acheminé à une interface, il est vérifié par
la liste de contrôle d'accès associée à l'interface.
Rappel : Un paquet IPX se compose de tous les différents champs suivants :
- Divers champs d’entête
- Type
du paquet (RIP, SAP, NCP, SPX, Netbios)
- nœud
de destination
- réseau
de destination
- socket
de destination
- nœud
source
- réseau
source
- socket
source
Tous les champs
précédemment cités sont contrôlables grâce aux listes d’accès étendues.
Les protocoles
qui peuvent être vérifiés grâce aux ACL avec IPX sont les
suivants :
- IPX
netbios
- IPX
SPX
- IPX
SPX+NCP
- IPX
RIP
- IPX
SAP
Pour créer une liste d’accès numérotée IPX étendue il faut que le numéro
de l’ACL sois compris entre 900 et 999 et comme avec les ACL standards une
seule liste de contrôle d'accès est permise par port, par protocole et par
direction.
Création d’une ACL IPX étendue :
Router(config)#access-list {900-999}{permit|deny}protocole
[réseau
source][[[nœud source[masque nœud source]]|
[nœud
source masque réseau
source masque nœud source ]]
[socket source ]
[réseau
de destination]
[[[nœud de destination [masque nœud destination]|
[nœud
de destination masque réseau destination .masque nœud de destination]][socket
destination ]log
|
Deny
|
Refuse
le paquet si les conditions sont respectées
|
|
Permit
|
Accepte
le paquet si les conditions sont respectées
|
|
Protocole
|
Nom ou
numéro d’un
protocole IPX.
|
|
réseau
source
|
(Optionnel)
Numéro du réseau qui a envoyé les paquets. 8 numéros qui
identifient un segment de câble réseau. Il peut être compris entre
1 et FFFFFFFE. Un numéro de réseau égal à 0 identifie le réseau local.
Un numéro de réseau égal à -1 identifie tout les réseaux.
|
|
Nœud source
|
(Optionnel)
Nœud du réseau source par lequel les paquets on été envoyés
|
|
Masque
réseau source
|
(Optionnel)
|
|
Masque nœud source
|
(Optionnel)
|
|
socket source
|
(Optionnel)nom
ou numéro du socket par lequel les paquets ont été envoyé.
|
|
Réseau
destination
|
(Optionnel)
numéros de réseau vers lequel les paquets sont envoyés.8
numéros qui identifient un segment de câble réseau. Il peut être compris
entre 1 et FFFFFFFE. Un numéro de réseau égal à 0 identifie le réseau
local. Un numéro de réseau égal à -1 identifie tout les réseaux.
|
|
Nœud destination
|
Nœud vers
lequel les paquets sont envoyés.
|
|
Masque nœud destination
|
(Optionnel)
|
|
Socket destination
|
Numéro ou nom du socket vers lequel les paquets sont envoyés.
|
|
Log
|
affichage
des violations de contrôle d’accès (adresse source, adresse
de destination, type de protocole, actions : permit|deny)
|
Exemple :
Router(config)# access-list 901 deny any tcp
1000 0000000f
(on vient de
créer une liste d’accès étendue refusant tout les paquets tcp
provenant du réseau 1000 0000000f)
Les listes d’accès étendues possèdent les mêmes caractéristiques
que les listes d’accès standard, les commandes pour les listes d’accès standard
sont les mêmes que pour les listes d’accès étendue. |
