| Index de l'article |
|
ACL
|
|
Page 2
|
|
Page 3
|
|
Page 4
|
Page 4 sur 4
5- Création d’une ACL étendue
Voici
la structure d’une ACL étendue :
Router(config)#
access-list numéro-liste-d'accès {permit | deny} protocol
adresse d’origine masque générique adresse destination masque
générique operateur operande [established]
Operateur
operande : lt, gt, eq neq suivi d’un numéro de port
Lt pour
lower than (plus petit que)
Gt pour
greater than (plus grand que)
Eq pour
equal (égal à)
Neq pour
non equal (différent de)
Established
permet au trafic TCP de passer si les bit ACK sont activées.
Soit la topologie suivante :
Pour
cet exemple, on veut refuser au stagiaire d’accéder au serveur TFTP.
On
remarque que le mot host a été tapé avant les adresses IP. Ce mot permet d’éviter
de devoir taper le masque générique 0.0.0.0 après l’adresse IP. Host signifie
donc qu’il faut vérifier tous les bits de l’adresse IP.
eq tftp
indique qu’il faut interdire le trafic tftp uniquement.
Le protocole
indiqué est UDP ; en effet, UDP est le protocole de couche supérieure
qui supporte le service TFTP.
La deuxième
ligne indique qu’il faut autoriser tout le reste du trafic (IP) pour n’importe
quelle source (any) vers n’importe quelle destination (le deuxième any).
Assignons
désormais cette ACL :
On
remarque que l’ACL a été placée sur le routeur C, au plus proche de la source.
Les ACLs étendues nous permettent de spécifier l’adresse de destination, il
est donc possible de bloquer au plus vite les paquets non désirés, et d’éviter
qu’ils atteignent le routeur A , et donc de polluer la bande passante pour
des paquets qui seront refusés.
6- Les ACL nommées.
Voici
la syntaxe des ACLs nommées :
access-list
{standard | extended} nom de l’ACL instructions
|
|
Les
listes de contrôle d'accès nommées ne sont pas compatibles avec les
versions de la plate-forme logicielle IOS Cisco antérieures à la version
11.2.
Vous
ne pouvez pas utiliser le même nom dans le cas de listes de contrôle
d'accès multiples. |
Reprenons
l’exemple précédent, on peut nommer cette ACL « stagiaire » ce qui
sera plus parlant qu’un numéro.
On
procède comme suit :
Router_C(config)#
access-list extended Stagiaire deny udp host 212.16.23.6 host 10.23.4.6 eq
tftp
Router_C(config)#
access-list Stagiaire permit ip any any
Router_C(config-if)
ip access-group Stagiaire out
7- Vérifier ses ACLs
Utilisez
la commande show access-lists pour afficher le contenu de toutes les
listes de contrôle d'accès.
Utilisez
la commande show access-lists suivie du nom ou du numéro d'une liste
de contrôle d'accès pour afficher le contenu de cette liste d'accès
|
