Les listes d'accès Cisco s'affichent dans le désordre. Configuration, application et validation d'une liste de contrôle d'accès nommée étendue

Aujourd'hui, je vais vous expliquer comment filtrer le trafic sur le réseau à l'aide de listes de contrôle d'accès. Voyons comment ils fonctionnent, ce qu'ils sont et à quoi ils sont destinés. Plus tard, je montrerai comment ils sont configurés dans Cisco IOS et publierai une archive avec des travaux de laboratoire pour consolider vos connaissances.

Introduction

ACL (Access Control List) est un ensemble d'expressions textuelles qui autorisent ou interdisent quelque chose. Généralement, une ACL autorise ou refuse les paquets IP, mais elle peut, entre autres choses, examiner l'intérieur d'un paquet IP, afficher le type de paquet, les ports TCP et UDP. Des ACL existent également pour divers protocoles réseau (IP, IPX, AppleTalk, etc.). Fondamentalement, l'utilisation de listes d'accès est envisagée du point de vue du filtrage de paquets, c'est-à-dire que le filtrage de paquets est nécessaire dans les situations où vous disposez d'un équipement à la frontière d'Internet et de votre réseau privé et où vous devez filtrer le trafic inutile.
Vous placez une ACL sur la direction entrante et bloquez les types de trafic inutiles.

Théorie

La fonctionnalité d'une ACL est de classer le trafic, vous devez d'abord le vérifier, puis faire quelque chose avec en fonction de l'endroit où l'ACL est appliquée. ACL s'applique partout, par exemple :

• Sur l'interface : filtrage de paquets
• Sur une ligne Telnet : restrictions d'accès au routeur
• VPN : quel trafic doit être chiffré
• QoS : quel trafic doit être traité en priorité ?
• NAT : quelles adresses diffuser

Pour appliquer des ACL à tous ces composants, vous devez comprendre leur fonctionnement. Et nous aborderons tout d’abord le filtrage des paquets. En ce qui concerne le filtrage de paquets, les ACL sont placées sur les interfaces, elles sont elles-mêmes créées indépendamment et ensuite seulement elles sont vissées à l'interface. Dès que vous le vissez à l'interface, le routeur commence à visualiser le trafic. Le routeur considère le trafic comme entrant et sortant. Le trafic qui entre dans le routeur est appelé entrant, le trafic qui en sort est appelé sortant. En conséquence, les ACL sont placées dans la direction entrante ou sortante.

Un paquet arrive de votre réseau privé à l'interface du routeur fa0/1, le routeur vérifie s'il y a ou non une ACL sur l'interface, s'il y en a une, puis la suite du traitement est effectuée selon les règles de la liste d'accès strictement dans l'ordre dans lequel les expressions sont écrites, si la liste d'accès autorise le passage du paquet, alors dans ce cas le routeur envoie le paquet au fournisseur via l'interface fa0/0, si la liste d'accès ne permet pas le passage du paquet, le paquet est détruit. S'il n'y a pas de liste d'accès, le paquet transite sans aucune restriction. Avant d'envoyer le paquet au fournisseur, le routeur vérifie également l'interface fa0/0 pour la présence d'une ACL sortante. Le fait est qu’une ACL peut être attachée à une interface comme entrante ou sortante. Par exemple, nous avons une ACL avec une règle interdisant à tous les nœuds sur Internet d'envoyer des paquets à notre réseau.
Alors, à quelle interface dois-je attacher cette ACL ? Si nous attachons une ACL à l'interface fa0/1 comme sortante, cela ne sera pas tout à fait correct, même si l'ACL fonctionnera. Le routeur reçoit une demande d'écho pour un nœud du réseau privé, il vérifie sur l'interface fa0/0 s'il y a une ACL, il n'y en a pas, puis il vérifie l'interface fa0/1, il y a une ACL sur cette interface, il est configuré comme sortant, tout est correct, le paquet ne pénètre pas dans le réseau, mais est détruit par le routeur. Mais si nous attachons une ACL à l’interface fa0/0 en tant qu’entrée, le paquet sera détruit dès son arrivée au routeur. La dernière solution est la bonne, puisque le routeur sollicite moins ses ressources informatiques. Les ACL étendues doivent être placées aussi près que possible de la source, tandis que les ACL standard doivent être placées aussi près que possible du destinataire.. Ceci est nécessaire pour ne pas envoyer de paquets en vain sur l'ensemble du réseau.

L'ACL elle-même est un ensemble d'expressions textuelles qui disent permis(autoriser) ou refuser(désactiver), et le traitement est effectué strictement dans l'ordre dans lequel les expressions sont spécifiées. En conséquence, lorsqu'un paquet atteint l'interface, la première condition est vérifiée ; si la première condition correspond au paquet, la suite du traitement est arrêtée. Le paquet sera soit déplacé, soit détruit.
Encore, si le paquet correspond à la condition, il n'est pas traité davantage. Si la première condition ne correspond pas, la deuxième condition est traitée, si elle correspond, le traitement s'arrête, sinon, la troisième condition est traitée, et ainsi de suite jusqu'à ce que toutes les conditions soient vérifiées, si aucune des conditions ne correspond, le paquet est simplement détruit. N'oubliez pas qu'à chaque extrémité de la liste se trouve un refus implicite (refuser tout le trafic). Soyez très prudent avec ces règles que j'ai mises en avant car les erreurs de configuration sont très courantes.

Les ACL sont divisées en deux types :

• Standard: ne peut vérifier que les adresses sources
• Étendu: peut vérifier les adresses source, ainsi que les adresses des destinataires, dans le cas d'IP, également le type de protocole et les ports TCP/UDP

Les listes d'accès sont désignées soit par des numéros, soit par des noms symboliques. Les ACL sont également utilisées pour différents protocoles réseau. À notre tour, nous travaillerons avec la propriété intellectuelle. Ils sont désignés comme suit, listes d'accès numérotées :

• Standard: de 1 à 99
• Avancé: de 100 à 199

Les ACL de caractères sont également divisées en standard et étendues. Permettez-moi de vous rappeler que les avancés peuvent vérifier bien plus que les standards, mais ils fonctionnent également plus lentement, car il faut regarder à l'intérieur du package, contrairement aux standards où l'on regarde uniquement le champ Adresse source. Lors de la création d'une ACL, chaque entrée de la liste d'accès est désignée par un numéro de séquence, par défaut de l'ordre de dix (10, 20, 30, etc.). Grâce à cela, vous pouvez supprimer une entrée spécifique et en insérer une autre à sa place, mais cette fonctionnalité est apparue dans Cisco IOS 12.3 avant 12.3, vous deviez supprimer l'ACL puis la recréer complètement. Vous ne pouvez pas placer plus d'une liste d'accès par interface, par protocole, par direction. Laissez-moi vous expliquer : si nous avons un routeur et qu'il a une interface, nous ne pouvons placer qu'une seule liste d'accès pour la direction entrante pour le protocole IP, par exemple le numéro 10. Une autre règle concernant les routeurs eux-mêmes est L'ACL n'affecte pas le trafic généré par le routeur lui-même.
Pour filtrer les adresses dans l'ACL, un masque WildCard est utilisé. Il s'agit d'un masque inversé. Nous prenons l'expression du modèle : 255.255.255.255 et soustrayons le masque habituel du modèle.
255.255.255.255-255.255.255.0, nous obtenons un masque de 0.0.0.255, qui est le masque habituel 255.255.255.0, seul 0.0.0.255 est un masque WildCard.

Types de listes de contrôle d'accès

Dynamique (ACL dynamique)

Vous permet de faire ce qui suit, par exemple, vous avez un routeur connecté à un serveur et nous devons en bloquer l'accès depuis le monde extérieur, mais en même temps, plusieurs personnes peuvent se connecter au serveur.
Nous configurons une liste d'accès dynamique, l'attachons à la direction entrante, puis les personnes qui ont besoin de se connecter se connectent via Telnet à cet appareil, en conséquence, l'ACL dynamique ouvre un chemin vers le serveur, et une personne peut alors y aller, disons, via HTTP pour accéder au serveur. Par défaut, après 10 minutes, ce passage est fermé et l'utilisateur est obligé de se connecter à nouveau à Telnet pour se connecter à l'appareil.

LCA réflexif

Ici la situation est un peu différente, lorsqu'un nœud du réseau local envoie une requête TCP à Internet, il faut avoir un laissez-passer ouvert pour qu'une réponse TCP arrive pour établir une connexion. S’il n’y a pas de passage, nous ne pourrons pas établir de connexion, et des attaquants pourront profiter de ce passage, par exemple pour pénétrer dans le réseau. Les ACL réfléchissantes fonctionnent de cette manière : l'accès est complètement bloqué (aucun refus), mais une autre ACL spéciale est formée qui peut lire les paramètres des sessions utilisateur générées à partir du réseau local et ouvrir un laissez-passer pour leur refuser, par conséquent il s'avère qu'ils ne pourront pas installer à partir du composé Internet. Et pendant la session, des réponses seront générées à partir du réseau local.

ACL basée sur le temps

Une ACL standard, mais avec une limite de temps, vous pouvez saisir un calendrier spécial qui active une entrée particulière de la liste d'accès. Et pour faire une telle astuce, par exemple, nous écrivons une liste d'accès dans laquelle nous interdisons l'accès HTTP pendant la journée de travail et l'accrochons sur l'interface du routeur, c'est-à-dire que les employés de l'entreprise viennent travailler, leur accès HTTP est refusé, la journée de travail est terminée, l'accès HTTP est ouvert,
s'il vous plaît, si vous le souhaitez, surfez sur Internet.

Paramètres

Les ACL elles-mêmes sont créées séparément, c'est-à-dire qu'il s'agit simplement d'une liste créée dans la configuration globale, puis elle est affectée à l'interface et ce n'est qu'alors qu'elle commence à fonctionner. Il est nécessaire de rappeler certains points afin de bien configurer les listes d'accès :

• Le traitement est effectué strictement dans l'ordre dans lequel les conditions sont rédigées
• Si le paquet correspond à la condition, il n'est pas traité davantage
• À la fin de chaque liste d'accès, il y a un refus implicite (tout refuser)
• Les ACL étendues doivent être placées aussi près que possible de la source, tandis que les ACL standard doivent être placées aussi près que possible du destinataire.
• Vous ne pouvez pas placer plus d'une liste d'accès par interface, par protocole, par direction
• L'ACL n'affecte pas le trafic généré par le routeur lui-même
• Un masque WildCard est utilisé pour filtrer les adresses

Liste d'accès standard

Routeur (config)# liste d'accès <номер списка от 1 до 99> (permettre | refuser | remarque) (adresse | n'importe quel | hôte)

• permis: permettre
• refuser: interdire
• remarque: commentaire sur la liste d'accès
• adresse: refuser ou autoriser le réseau
• n'importe lequel: nous autorisons ou refusons tout
• hôte: autoriser ou refuser l'hôte
• caractère générique source : Masque de réseau WildCard
• enregistrer: activer la journalisation des paquets passant par cette entrée ACL

Liste d'accès étendue

Routeur (config)# liste d'accès <номер списка от 100 до 199> (permettre | refuser | remarque) source du protocole [ opérateur opérande] [ port <порт или название протокола>

• source du protocole : quel protocole allons-nous autoriser ou fermer (ICMP, TCP, UDP, IP, OSPF, etc.)
• refuser: interdire
• opérateur:
  A.B.C.D - adresse du destinataire
  any - n'importe quel hôte de destination
  eq - uniquement les paquets sur ce port
  gt - uniquement les paquets avec un grand numéro de port
  hôte - le seul hôte final
  lt - uniquement les paquets avec un numéro de port inférieur
  neq - uniquement les paquets qui ne sont pas sur ce numéro de port
  plage - plage de ports
• port: numéro de port (TCP ou UDP), vous pouvez spécifier un nom
• établi: permettre le passage de segments TCP faisant partie d'une session TCP déjà créée

Attaché à l'interface

Routeur (config-if)# groupe d'accès IP <номер списка или имя ACL> (entrée | sortie)

• dans: direction entrante
• dehors: direction sortante

Listes d'accès nommé

Routeur (config)# liste d'accès IP (standard | étendu) (<номер ACL> | <имя ACL>}
Routeur (config-ext-nacl)# (par défaut | refuser | quitter | non | permis | remarque)

• standard: liste de contrôle d'accès standard
• étendu: liste de contrôle d'accès étendue
• défaut: définir la commande par défaut

Restreindre l'accès au routeur

R(config)# ligne vty 0 4 - accédez au mode de configuration des lignes virtuelles.
R(ligne de configuration)# mot de passe <пароль>
R(ligne de configuration)# se connecter
R(ligne de configuration)# classe d'accès 21 dans- configurez un identifiant et un mot de passe, et attribuez également une liste d'accès avec les adresses IP autorisées.

Listes d'accès dynamiques

R3(config)# nom d'utilisateurÉtudiant mot de passe 0 Cisco - crée des utilisateurs pour se connecter via Telnet.
R3(config)# liste d'accès 101 autoriser TCP n'importe quel hôte 10.2.2.2 équipement telnet
R3(config)# liste d'accès 101 délai d'expiration de la liste de tests dynamique 15 autorisation IP 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255 - autorise tous les nœuds à se connecter au serveur via Telnet.
R3(config)#interface série 0/0/1
R3(config-si)# groupe d'accès IP 101 in - attribue 101 ACL à l'interface dans la direction entrante.
R3(config)# ligne vty 0 4
R3 (ligne de configuration) # connexion locale
R3 (ligne de configuration) # délai d'attente de l'hôte pour l'activation de l'accès à la commande automatique 5 - dès que l'utilisateur sera authentifié, le réseau 192.168.30.0 sera disponible, après 5 minutes d'inactivité la session sera fermée.

Listes d'accès réfléchissantes

R2(config)# liste d'accès IP étendue FILTRES SORTANTS
R2(config-ext-nacl)# autoriser TCP 192.168.0.0 0.0.255.255 tout reflète TRAFIC TCP
R2(config-ext-nacl)# permis ICMP 192.168.0.0 0.0.255.255 tout reflète ICMPTRAFFIC - nous forçons le routeur à surveiller le trafic initié de l'intérieur.
R2(config)# liste d'accès IP étendue FILTRES ENTRANTS
R2(config-ext-nacl)# évaluer TRAFIC TCP
R2(config-ext-nacl)# évaluer ICMPTRAFFIC - crée une politique entrante qui oblige le routeur à vérifier le trafic entrant pour voir s'il a été initié de l'intérieur et à lier TCPTRAFFIC à INBOUNDFILTERS.
R2(config)# interface série 0/1/0
R2(config-if)# groupe d'accès IP FILTRES ENTRANTS dans
R2(config-if)# groupe d'accès IP OUTBOUNDFILTERS out - applique les ACL entrantes et sortantes à l'interface.

Délai

R1(config)# plage horaire TOUS LES JOURS
R1 (plage de temps de configuration)# périodique Lundi mercredi vendredi de 8h00 à 17h00 - créez une liste d'heures dans laquelle nous ajoutons les jours de la semaine et l'heure.
R1(config)# liste d'accès 101 autoriser TCP 192.168.10.0 0.0.0.255 n'importe quelle plage horaire telnet d'eq TOUS LES JOURS : applique une plage horaire à l'ACL.
R1(config)#interface s0/0/0
R1(config-if)# groupe d'accès IP 101 out - attribuez une ACL à l'interface.

Dépannage

R# afficher les listes d'accès(numéro ACL | nom) - consultez les informations sur la liste d'accès.
R# afficher les listes d'accès- regardez toutes les listes d'accès sur le routeur.

Exemple

Numéro de routeur afficher les listes d'accès
Liste d'accès IP étendue entaille
autoriser l'hôte IP 172.168.1.1, l'hôte 10.0.0.5
refuser ip any any (16 correspondance(s))
Liste d'accès IP standard pseudo5
permis 172.16.0.0 0.0.255.255

Nous voyons que nous avons deux ACL (standard et étendue) appelées nick et nick5. La première liste permet à l'hôte 172.16.1.1 d'accéder à l'hôte 10.0.0.5 via IP (cela signifie que tous les protocoles fonctionnant sur IP sont autorisés). Tout autre trafic est refusé, comme le montre la commande deny ip any any. À côté de cette condition, dans notre exemple, il est écrit (16 correspondance(s)). Cela montre que 16 paquets remplissent cette condition.
La deuxième ACL autorise le trafic provenant de n'importe quelle source sur le réseau 172.16.0.0/16.

Pratique

J'ai rassemblé les laboratoires Packet Tracer du chapitre 5 du cours CCNA 4 ACL. Si vous souhaitez consolider vos connaissances par la pratique, veuillez -

Liste de contrôle d'accès- des listes de contrôle d'accès.

Vous pouvez attribuer une liste à :
- chaque protocole
- chaque interface
- le trafic entrant et sortant

Une ACL n'a aucun effet sur le trafic généré par le routeur lui-même.

Il y a:
ACL standard : filtre les paquets uniquement par adresse IP source
Listes de contrôle d'accès étendues – filtrer par :
- adresse IP source
- adresse IP de destination
- Ports sources TCP ou UDP
- Ports de destination TCP ou UDP
- type de protocole (nom ou numéro)

Et aussi :
1. ACL numérotées :
- de 1 à 99 et de 1300 à 2000 - ACL IP standards
- de 100 à 199 et de 2000 à 2699 - ACL IP étendues
2. Nommés - ils sont plus pratiques à utiliser, car vous pouvez préciser leur objectif. Exigences en matière de nom :
- peut contenir des lettres et des chiffres
- les noms doivent être écrits en majuscules
- les noms ne peuvent pas contenir d'espaces ou de signes de ponctuation
Vous pouvez ajouter et supprimer des entrées dans les ACL nommées.

Comment les ACL sont utilisées
1. Créez une ACL en spécifiant un numéro ou un nom et spécifiez les conditions.
2. Attribuez une ACL à une interface ou à une ligne de terminal.

Comment fonctionne une ACL standard ?
1. Un paquet arrive à l'interface
2. Il est vérifié s'il existe une ACL à l'entrée de l'interface.
3. Vérifie si l'ACL est standard.
4. L'adresse source est comparée au premier enregistrement.
5. S'il ne correspond pas, il est comparé à l'entrée suivante.
6. S'il ne correspond à aucun enregistrement, il est supprimé.
7. S'il correspond à un enregistrement, saute ou rejette selon la règle.
8. S'il réussit, recherche l'adresse de destination dans la table de routage.
9. S'il est disponible, l'envoie à l'interface requise.
10. Sinon, jetez-le.

Règles de placement des ACL :
- Les ACL standard doivent être situées plus près du réseau de destination
- ACL étendues - plus proches du réseau source.

Création d'une ACL standard numérotée
Routeur (config)#access-list numéro de liste d'accès source
Par exemple:
R1(config)# liste d'accès 10 remarque Permis pour 192.168.0.0 LAN - décrire l'ACL ou chaque entrée de l'ACL
R1(config)# permis liste d'accès 10 192.168.0.0 - pour le réseau de classe
R1(config)# permis liste d'accès 10 192.168.5.0 0.0.0.128 - pour un réseau sans classe
Suppression d'une liste de contrôle d'accès
R1(config)# pas de liste d'accès 10

Le masque générique est formé en soustrayant le masque du réseau souhaité du masque 255.255.255.0, par exemple
255.255.255.255
-
255.255.15.0
=
0.0.240.255

Dans l'ACL, au lieu de l'adresse source, vous pouvez spécifier :
- au lieu de 0.0.0.0 255.255.255.255 - n'importe lequel
- au lieu d'une adresse d'hôte spécifique comme 192.168.5.12 0.0.0.0 - hôte 192.168.5.12

Application d'une ACL standard numérotée à une interface
Routeur (config-if)#ip access-group (numéro-de-liste-d'accès | nom-de-liste-d'accès) (entrée | sortie)
Par exemple, ACL 10 :
R1(config)# permis liste d'accès 10 192.168.0.0
R1(config)# permis liste d'accès 10 192.168.5.0 0.0.0.128
appliqué à l'entrée de l'interface Fastethernet 0/1
R1(config)#interface f0/1
R1(config-if)#groupe d'accès IP 10 po

Configuration de l'ACL pour les lignes de terminaux virtuels (au lieu du paramètre groupe d'accès utilisé classe d'accès):
R1 (ligne de configuration) # classe d'accès numéro de liste d'accès (entrée | sortie)
Par exemple
R1(config)# permis liste d'accès 22 192.168.1.0
R1(config)# permis liste d'accès 22 192.168.2.0
R1(config)# ligne vty 0 4- doit être attribué à tous les vtys, car l'utilisateur peut se connecter à n'importe lequel d'entre eux
R1 (ligne de configuration) # connexion locale
R1 (ligne de configuration) # telnet d'entrée de transport
R1 (ligne de configuration) # classe d'accès IP 22 po

Modification des ACL numérotées
Lors de la modification des ACL numérotées, les entrées sont insérées dans l'ordre dans lequel elles ont été saisies. Vous ne pouvez pas insérer une nouvelle entrée entre deux entrées déjà saisies. Si vous devez toujours le faire, alors :
- Copiez toutes les règles de la configuration dans un bloc-notes.
- Insérez les entrées nécessaires.
- Supprimer tous les climatiseurs
- Copiez toutes les entrées du bloc-notes
- Nous l'insérons dans la configuration.

Listes de contrôle d'accès standard nommées
R1(config)# NOM standard de liste d'accès IP- déclarer une ACL standard nommée
R1 (config-std-nacl)# remarque Refuser pour l'hôte 192.168.0.13- décrire l'ACL
R1(config-std-nacl)# refuser192.168.0.13 - créer des règles
R1(config-std-nacl)# permis192.168.0.0 0.0.0.255
R1(config-std-nacl)#interface Fa0/0
R1(config-if)#NOM du groupe d'accès IP en sortie- lier l'ACL à l'interface
Il n’est pas nécessaire de nommer les ACL en majuscules. Ceci est fait pour plus de commodité.

Affichage et vérification des ACL
La commande utilisée est :
Le numéro de routeur affiche les listes d'accès (numéro-liste-d'accès | nom)
Par exemple,
R1# afficher les listes d'accès- affiche toutes les ACL
R1# afficher les listes d'accès 10- affiche le numéro ACL 10
R1# afficher les listes d'accès NAM- affiche l'ACL avec le nom NAM

Modification des ACL nommées
Les ACL nommées ont un avantage sur les listes numérotées. Ils sont plus faciles à modifier. Toutes les entrées de règle dans les ACL nommées ont un numéro de séquence par incréments de 10. C'est-à-dire la première règle est numérotée 10, la seconde est numérotée 20, etc.
Par conséquent, pour les ACL nommées, vous pouvez supprimer des entrées spécifiques, ainsi qu'ajouter des entrées entre les règles existantes, en leur attribuant un numéro entre les numéros des règles entre lesquelles la nouvelle règle est ajoutée.
Par exemple, nous avons une ACL avec les entrées suivantes :
R1# afficher les listes d'accès

10 permis 192.168.10.10

Nous devons ajouter une règle supplémentaire :
R1(config)# SERVEUR WEB standard de liste d'accès
Permis R1(config-std-nacl)#15192.168.10.13

Voici ce qui s'est passé :
R1# afficher les listes d'accès
Liste d'accès IP standard SERVEUR WEB
10 permis 192.168.10.10
15 permis 192.168.10.13
20 refuser 192.168.10.0, bits génériques 0.0.0.255
30 refus 192.168.12.0, bits génériques 0.0.0.255

Listes de contrôle d'accès étendues
Les listes d'accès étendues permettent de filtrer plus précisément le trafic, c'est pourquoi elles sont plus souvent utilisées. En plus de l'adresse source, ils vérifient également :
- protocole (IP, ICMP, TCP, UDP, etc.)
- adresse de destination
- numéro de port (pas d'interface)

Syntaxe de commande ACL numérotée étendue
Routeur (config)#access-list numéro de liste d'accès protocole source destination
Où:
numéro de liste d'accès- Numéro ACL (100-199 et 2000-2699)
refuser- bloquer le trafic
permis- autoriser la circulation
remarque- description de la règle ou de l'ACL
protocole- nom ou numéro du protocole. Il s'agit principalement d'IP, ICMP, TCP, UDP.
source-adresse source
source-wildcard- masque de source inverse
destination- adresse de destination
destination-wildcard- masque de destination inversé
opérateur- compare les numéros de port. Peut-être : lt-inférieur à, gt-supérieur à, eq-égal, neq-pas égal, gamme- allume la cuisinière.
port- numéro de port
établi- TCP uniquement - indique une connexion établie.

Exemple
R1(config)#access-list 103 permit tcp 192.168.10.0 0.0.0.255 tout eq 80- autoriser l'accès via le port 80 depuis le réseau 192.168.10.0
R1(config)#access-list 103 permis tcp 192.168.10.0 0.0.0.255 tout eq 443- autoriser l'accès via le port 443 depuis le réseau 192.168.10.0
R1(config)#access-list 104 autorise TCP tout 192.168.10.0 0.0.0.255 établi- autoriser les connexions TCP établies au réseau 192.168.10.0.

Les ACL étendues sont attribuées aux interfaces de la même manière que les ACL standard. Par exemple:
R1(config)#interface f0/1
R1(config-if)#groupe d'accès IP 103
R1(config-if)#groupe d'accès IP 104 dans

Création d'une ACL étendue nommée
R1(config)# liste d'accès IP étendue SURF- déclarer une ACL étendue nommée pour le trafic sortant
R1(config-ext-nacl)# pernit tcp 192.168.10.0 0.0.0.255 tout éq 80 - créer des règles
R1(config-ext-nacl)# pernit tcp 192.168.10.0 0.0.0.255 tout éq 443
R1(config)# liste d'accès étendue NAVIGATION- déclarer une ACL étendue nommée pour le trafic entrant
R1(config-ext-nacl)# pernit tcp tout 192.168.10.0 0.0.0.255 établi- créer des règles

Listes de contrôle d'accès complexes
Les ACL standard et étendues peuvent servir de base à des ACL complexes pour améliorer les fonctionnalités. Il y a:
- Dynamique
- Réfléchissant
- Avec limite de temps

ACL dynamiques - Si un utilisateur doit accéder à un appareil derrière le routeur, il doit d'abord s'authentifier auprès du routeur via Telnet. Après cela, le routeur donne accès pendant un certain temps, après quoi vous devrez vous authentifier à nouveau.
R1(config)#username Mot de passe étudiant 0 cisco— créer des utilisateurs pour se connecter via Telnet sans privilèges.
R3(config)#access-list 101 autorise TCP n'importe quel hôte 10.2.2.2 eq telnet- vous permet de vous connecter au routeur de n'importe où
R3(config)#access-list 101 délai d'expiration de la liste de tests dynamique 15 autorisation IP 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255- ajoutez une entrée dynamique appelée testlist, qui ne fonctionnera qu'après avoir établi une connexion via Telnet pendant 15 minutes, puis s'éteindra. Cette règle autorise l'accès du réseau 192.168.10.0 au réseau 192.168.30.0.
R3(config)#interface série 0/0/1
R3(config-if)#ip access-group 101 dans— attribuez l'ACL 101 à l'interface dans le sens entrant.
R3(config)#ligne vty 0 4
R3 (ligne de configuration) # connexion locale
R3(config-line)#autocommand access-enable hôte délai d'attente 5— dès que l'utilisateur se connectera au routeur, une autocommande sera exécutée qui donnera accès au réseau 192.168.30.0. La session Telnet se fermera alors. L'accès au réseau demeurera et sera fermé après 5 minutes d'attente.

ACL réflexives - autoriser le trafic provenant de l'extérieur du réseau uniquement s'il a été initié depuis l'intérieur. Dans un premier temps, la circulation venant de l’extérieur est fermée. La liste d'accès mémorise les paramètres des sessions utilisateur qui émettent une demande vers l'extérieur. La réponse à ces requêtes est vérifiée pour vérifier sa conformité aux paramètres de session utilisateur. Les ACL réfléchissantes n'ont que des entrées temporaires créées automatiquement à chaque session. Les ACL réfléchissantes ne sont pas appliquées directement à l'interface, mais sont imbriquées dans une ACL étendue appliquée à l'interface. Les ACL réfléchissantes ne peuvent être définies que dans des ACL nommées étendues et peuvent être utilisées avec vos ACL préférées.
R2(config)#ip access-list étendu OUTBOUNDFILTERS- déclarer une ACL étendue nommée pour le trafic sortant.
R2(config-ext-nacl)#permit tcp 192.168.0.0 0.0.255.255 tout reflète TCPTRAFFIC- nous forçons le routeur à surveiller le trafic TCP initié de l'intérieur et à le stocker dans la variable TCPTRAFFIC.
R2(config-ext-nacl)#permit icmp 192.168.0.0 0.0.255.255 tout reflète ICMPTRAFFIC— nous forçons le routeur à surveiller le trafic icmp qui a été initié de l'intérieur et à le stocker dans la variable ICMPTRAFFIC.
R2(config)#ip access-list étendu INBOUNDFILTERS- déclarer une ACL étendue nommée pour le trafic entrant.
R2(config-ext-nacl)#évaluer TCPTRAFFIC- on force le routeur à comparer les paramètres du trafic TCP entrant avec la variable TCPTRAFFIC créée par la règle OUTBOUNDFILTERS.
R2(config-ext-nacl)#évaluer ICMPTRAFFIC— nous forçons le routeur à comparer les paramètres du trafic icmp entrant avec la variable ICMPTRAFFIC créée par la règle OUTBOUNDFILTERS.
R2(config)#interface série 0/1/0
R2(config-if)#ip access-group INBOUNDFILTERS dans- appliquer l'ACL pour le trafic entrant vers l'interface.
R2(config-if)#ip access-group OUTBOUNDFILTERS sorti- appliquer l'ACL pour le trafic sortant vers l'interface.

LCA limitée dans le temps - détermine l'heure à laquelle une entrée spécifique est active dans l'ACL étendue.
R1(config)#plage de temps TOUS LES JOURS- déclarer la variable horaire TOUS LES JOURS.
R1(config-time-range)#périodique Lundi Mercredi Vendredi 8h00 à 17h00— attribuer une liste d'heures à cette variable, dans laquelle on ajoute les jours de la semaine et l'heure.
R1(config)#access-list 101 permit tcp 192.168.10.0 0.0.0.255 n'importe quelle plage horaire eq telnet TOUS LES JOURS— appliquer la variable à la règle.
R1(config)#interface s0/0/0
R1(config-if)#ip access-group 101 sortie- attribuer une ACL à l'interface.

Créons une liste ACL nommée et écrivons des règles pour celle-ci :

ip access-list extend HTTP_ONLY – crée une liste.

permittcp 172.22.34.96 0.0.0.15 hôte 172.22.34.62 eqwww – configurez le filtrage du trafic www.

permiticmp 172.22.34.96 0.0.0.15 hôte 172.22.34.62 – autorise la transmission du trafic ICMP du PC2 vers le serveur.

interfacegigabitEthernet 0/1

ipaccess-groupHTTP_ONLYin – placement de la liste sur l'interface.

Pour vérifier le fonctionnement de la liste appliquée, nous envoyons une demande d'écho du PC2 au serveur serveur (Figure 4.4). Ensuite, une connexion FTP infructueuse est établie du PC2 au serveur serveur (Figure 4.4). Ensuite, vous devez ouvrir un navigateur Web sur PC2 et saisir l'adresse IP du serveur comme URL. La connexion devrait réussir (Figure 4.5).

Figure 4.4 – Requête d'écho et connexion FTP au serveur depuis le PC2

Figure 4.5 – Connexion au serveur via un navigateur Web

5 Configuration des ACL étendues. Scénario 2

Dans ce scénario, les appareils d'un réseau local sont autorisés à accéder à distance aux appareils d'un autre réseau local via le protocole Telnet. À l'exception d'ICMP, tout trafic provenant d'autres réseaux est interdit. Le schéma du réseau est présenté à la figure 5.1.

Figure 5.1 – Schéma du réseau

Nous configurons une ACL numérotée étendue avec les commandes suivantes :

accesslist 199 permittcp 10.101.117.32 0.0.0.15 10.101.117.0 0.0.0.31 eqtelnet – le trafic via le protocole Telnet sur le réseau 10.101.117.32/28 est autorisé pour la transmission vers les appareils sur les réseaux 10.100.117.0/27.

liste d'accès 199 permiticmpanyany – Le trafic ICMP est autorisé à partir de n'importe quel appareil et dans n'importe quelle direction.

Tout autre trafic est interdit par défaut.

interface gigabitethernet0/2

ipaccess-group 199 out – placement de la liste sur l'interface.

Pour tester le fonctionnement de la liste étendue, vous devez d'abord envoyer des requêtes ping depuis l'ordinateur PCB à toutes les autres adresses IP du réseau (Figure 5.2). Ensuite, les demandes d'écho sont envoyées depuis l'ordinateur PCA vers toutes les autres adresses IP du réseau (Figure 5.3).

Figure 5.2 – Demande d'écho de RSV

Figure 5.3 – Requête d'écho de RSA

6 Configuration des ACL étendues. Scénario 3

Dans ce scénario, des appareils spécifiques sur le réseau local sont autorisés à accéder à plusieurs services à partir de serveurs hébergés sur Internet. Le réseau utilisé est illustré à la figure 6.1.

Figure 6.1 – Schéma du réseau

Vous devez utiliser une seule ACL nommée pour implémenter les règles suivantes :

1 Refusez l'accès via les protocoles HTTP et HTTPS du PC1 au Serveur1 et au Serveur2. Ces serveurs sont situés à l'intérieur du cloud, seules leurs adresses IP sont connues.

2Bloquez l'accès FTP du PC2 au serveur 1 et au serveur 2.

3Bloquez l'accès ICMP du PC3 au serveur 1 et au serveur 2.

L'ACL nommée étendue a été configurée à l'aide des commandes suivantes :

ip access-list extend ACL – créer une liste.

denytcphost 172.31.1.101 host 64.101.255.254 eqwww – règle qui refuse l'accès du PC1 au serveur 1, pour HTTP uniquement.

denytcphost 172.31.1.101 hôte 64.101.255.254 eq 443 – règle qui refuse l'accès du PC1 au serveur 1, uniquement pour HTTPS.

denytcphost 172.31.1.101 host 64.103.255.254 eqwww – règle qui refuse l'accès du PC1 au serveur2, pour HTTP uniquement.

denytcphost 172.31.1.101 hôte 64.103.255.254 eq 443 – règle qui refuse l'accès du PC1 au serveur2, uniquement pour HTTPS.

denytcphost 172.31.1.102 host 64.101.255.254 eqftp – une règle qui refuse l'accès du PC2 au serveur 1, pour FTP uniquement.

denytcphost 172.31.1.102 host 64.103.255.254 eqftp – règle qui refuse l'accès du PC2 au serveur2, pour FTP uniquement.

denyicmhost 172.31.1.103 hôte 64.101.255.254 – règle qui refuse l'accès ICMP du PC3 au serveur1.

denyicmhost 172.31.1.103 hôte 64.103.255.254 – une règle qui refuse l'accès ICMP du PC3 au serveur2.

allowipanyany – autorise un autre trafic IP.

interfacegigabitEthernet 0/0

ipaccess-groupACLin – application de la liste ACL sur l'interface et la direction correspondantes.

La vérification de l'ACL étendue est la suivante : vérification de l'accès aux sites Web sur les serveurs Serveur1 et Serveur2 à l'aide du navigateur Web PC1, ainsi que des protocoles HTTP et HTTPS (Figure 6.2), vérification de l'accès FTP aux serveurs Serveur1 et Serveur2 depuis l'ordinateur PC1 (Figure 6.3) , des requêtes d'écho sont adressées au Serveur1 et au Serveur2 depuis le PC1 (Figure 6.4). RS2 et RS3 sont vérifiés de la même manière. L'accès réussi aux sites Web sur les serveurs de PC2 et PC3 est illustré dans la figure 6.5. L'accès FTP infructueux aux serveurs à partir du PC2 est illustré dans la figure 6.6. Les échecs de ping du PC3 vers les serveurs sont illustrés dans la figure 6.7.

Figure 6.2 – Vérification de l'accès via HTTP et HTTPS

Figure 6.3 - Accès FTP au Serveur1 et au Serveur2 depuis le PC1

Figure 6.4 - Pings vers Server1 et Server2 depuis PC1

Figure 6.5 - Accès réussi aux sites Web sur les serveurs depuis PC2 et PC3

Figure 6.6 - Accès FTP infructueux aux serveurs depuis PC2

Figure 6.7 - Échec des requêtes d'écho du PC3 vers les serveurs

7 Développement de compétences pratiques complexes

Cette tâche avancée vous oblige à terminer le schéma d'adressage, à configurer le routage et à appliquer des listes de contrôle d'accès nommées. Le schéma du réseau utilisé est présenté sur la figure 7.1.

Figure 7.1 – Schéma du réseau

Au cours des travaux de laboratoire, les exigences suivantes ont été remplies :

1 Le réseau 172.16.128.0/19 est divisé en deux sous-réseaux égaux à utiliser dans le routeur de succursale. La dernière adresse utilisable du deuxième sous-réseau est attribuée à l'interface GigabitEthernet 0/0. La dernière adresse utilisable du premier sous-réseau est attribuée à l'interface GigabitEthernet. 0/1. La table d'adressage documentée se trouve dans le tableau 1.

Tableau 1 – Tableau d'adressage

Suite du tableau 1

Bifurquer	G0/0	172.16.159.254	255.255.240.0	Pas disponible
G0/1	172.16.143.254	255.255.240.0	Pas disponible
S0/0/0	192.168.0.2	255.255.255.252	Pas disponible
QG1	Adaptateur réseau	172.16.64.1	255.255.192.0	172.16.127.254
QG2	Adaptateur réseau	172.16.0.2	255.255.192.0	172.16.63.254
HQServer.pka	Adaptateur réseau	172.16.0.1	255.255.192.0	172.16.63.254
B1	Adaptateur réseau	172.16.144.1	255.255.240.0	172.16.159.254
B2	Adaptateur réseau	172.16.128.2	255.255.240.0	172.16.143.254
BranchServer.pka	Adaptateur réseau	172.16.128.1	255.255.240.0	172.16.143.254

L'attribution des adresses aux interfaces s'effectue à l'aide de la commande sur le routeur Branch :

interface gigabitEthernet0/0

adresse IP 172.16.159.254 255.255.240.0

interface gigabitEthernet0/1

adresse IP 172.16.143.254 255.255.240.0

2B1 a configuré l'adressage approprié ; la première adresse libre du réseau auquel il est connecté a été utilisée. Le paramètre est illustré à la figure 7.2.

Figure 7.2 – Paramétrage de l'adressage sur B1

3 Le routeur de succursale a été configuré avec le protocole EIGRP (Enhanced Internal Gateway Routing Protocol) selon les critères suivants :

a) les trois réseaux connectés sont annoncés ;

b) la fusion automatique est désactivée ;

c) les interfaces appropriées sont configurées comme passives ;

d) agrégé 172.16.128.0/19 sur l'interface série Serial 0/0/0 avec distance administrative 5.

L'installation a été réalisée avec les commandes suivantes :

réseau 168.0.0.0 0.0.0.3

réseau 172.16.128.0 0.0.15.255

réseau 172.16.144.0 0.0.15.255

interface passive gigabitethernet0/0

interface passive gigabitethernet0/1

interface série 0/0/0

ipsummary-addresseigrp 1 172.16.128.0 255.255.224.0 5

4 Une route par défaut a été configurée sur le routeur HQ, dirigeant le trafic vers l'interface S0/0/1. La route vers le routeur Branch a été redistribuée. Les commandes suivantes ont été utilisées pour cela :

route IP 0.0.0.0 0.0.0.0 série 0/0/1

redistribuerstatique

5 sous-réseaux de réseau local HQ sont combinés sur l'interface série Serial 0/0/0 avec une distance administrative de 5. Commandes :

interfacesérie0/0/0

ipsummaryaddresseigrp 1 172.16.0.0 255.255.128.0 5

6 Création d'une liste d'accès nommée, HQServer, pour refuser à tous les ordinateurs connectés à l'interface GigabitEthernet 0/0 du routeur de succursale l'accès à HQServer.pka. Tout autre trafic est autorisé. La liste d'accès est configurée sur le routeur approprié, attribuée à l'interface appropriée dans la direction appropriée. Pour ce faire, utilisez les commandes suivantes :

ipaccess-listendedHQServer

refuser l'hôte 172.16.0.1

laisse tomber n'importe quel

interface gigabitethernet0/0

groupe d'accès IP HQServer dans

7 Création d'une liste d'accès BranchServer nommée pour refuser à tous les ordinateurs connectés à l'interface GigabitEthernet 0/0 du routeur HQ l'accès aux services HTTP et HTTPS du BranchServer. Tout autre trafic est autorisé. La liste d'accès est configurée sur le routeur approprié et attribuée à l'interface appropriée dans la direction appropriée.

liste d'accès IP étendue BranchServer

denytcp n'importe quel hôte 172.16.128.1 eq 80

denytcp n'importe quel hôte 172.16.128.1 eq 443

laisse tomber n'importe quel

interface gigabitethernet0/0

ipaccess-groupBranchServerin

Pour vérification, des demandes d'écho ont été envoyées de B1 à HQServer.pka (sans succès, Figure 7.3). L'accès Web au serveur BranchServer.pka depuis HQ1 échoue également (Figure 7.4).

Figure 7.3 - Requête d'écho de B1 vers HQServer.pka

Figure 7.4 - Accès Web au serveur BranchServer.pka depuis HQ1

©2015-2019site
Tous les droits appartiennent à leurs auteurs. Ce site ne revendique pas la paternité, mais propose une utilisation gratuite.
Date de création de la page : 20/08/2016

Listes d'accès, listes de contrôle d'accès (ACL) – listes de contrôle d'accès. Il existe plusieurs types de listes d'accès utilisées sur les routeurs et commutateurs Cisco. Les listes d'accès sont utilisées pour filtrer le trafic ou pour définir des classes de trafic lors de l'application de stratégies. Une liste d'accès est un ensemble de chaînes de condition-action. La ligne de la liste d'accès est appelée access-control-entry (ACE). La condition peut être que le paquet soit conforme à un protocole ou à un ensemble de paramètres spécifique. L'action peut être une autorisation de paquet (permis) ou un refus (refuser). Les règles suivantes s'appliquent aux listes d'accès :

• La liste d'accès créée n'a aucun effet tant qu'elle n'est pas appliquée à une interface spécifique.
• La liste d'accès est appliquée sur l'interface dans une direction spécifique - pour le trafic sortant ou entrant (entrant/sortant).
• Une seule liste d'accès par protocole (ip) et direction (in/out) peut être appliquée à une interface.
• La liste d'accès est vérifiée ligne par ligne jusqu'à ce que la première correspondance soit trouvée. Les lignes restantes sont ignorées.
• À la fin de toute liste d’accès IP se trouve une règle de refus implicite. Un paquet qui ne correspond à aucune condition de la liste est rejeté conformément à la règle de refus implicite.
• Il est recommandé d'indiquer des règles plus spécifiques au début de la liste d'accès, et des règles plus générales à la fin.
• Les nouvelles lignes sont ajoutées par défaut à la fin de la liste.
• Une seule ligne peut être supprimée d'une liste d'accès nommée ; les autres ACL ne peuvent être supprimées que entièrement.
• Une liste d'accès doit avoir au moins un permis, sinon elle bloquera tout le trafic.
• Une interface à laquelle est attribuée une liste d’accès inexistante ne filtre pas le trafic.
• Les listes d'accès étendu IP sont appliquées aussi près que possible de la source du trafic.

Selon la méthode de création, les listes d'accès sont divisées en standard, étendues et nommées. Il est plus pratique de travailler avec des personnes nommées.

Liste d'accès standard

Filtre uniquement par adresse IP source. Doit avoir un numéro compris entre 1 et 99. Exemple:

Liste d'accès 10 refuser l'hôte 172.16.30.2 – refuser l'adresse IP source liste d'accès 10 autoriser tout – autoriser tout

Liste d'accès étendue

Filtres par adresses source et destination, à l'aide des protocoles de couches 3 et 4. Doit avoir un numéro compris entre 100 et 199. Exemple:

Liste d'accès 110 refuser TCP n'importe quel hôte 172.16.30.2 eq 22 - refuser le TCP de tout le monde à un hôte avec le port 22 liste d'accès 110 refuser l'adresse IP 192.168.160.0 0.0.31.255 tout - refuser l'adresse IP du réseau selon un modèle sur tous les accès -list 110 permit ip any any - tout autoriser

Application à l'interface

conf t - passer en mode configuration int fa 0/0 - passer à l'interface FastEthernet0/0 ip access-group 110 in - appliquer l'ACL 110 à l'entrée ip access-group 120 out - appliquer l'ACL 120 à la sortie

Application aux lignes d'accès telnet

conf t - passer en mode configuration ligne vty 0 4 - passer aux lignes vty 0 à 4 classe d'accès 10 in - appliquer l'ACL 10 à l'entrée

Liste d'accès étendue nommée

Filtres par adresses source et destination, à l'aide des protocoles de couches 3 et 4. Il doit avoir un nom. Il est possible de supprimer des lignes individuelles. Exemple:

Liste d'accès IP étendue INET - créer une liste avec le nom INET deny tcp any host 172.16.30.2 eq 22 - refuser TCP de tout le monde à l'hôte avec le port 22 deny ip 192.168.160.0 0.0.31.255 any - refuser l'IP du réseau en utilisant un modèle pour tous les permis ip any any - tout autoriser

Les lignes d'accès sont numérotées par incréments de 10 par défaut. Vous pouvez renuméroter la liste d'accès en suivant une étape différente. Vous pouvez ajouter une ligne numérotée - elle ira à l'emplacement spécifié, selon la numérotation.

Consultez la liste d'accès étendu :

Routeur # sh access-list INET Liste d'accès IP étendue INET 10 refuser TCP n'importe quel hôte 172.16.30.2 eq 22 (150 correspondances) 20 refuser ip 192.168.160.0 0.0.31.255 tout (4 correspondances) 30 permettre ip tout tout (1556 correspondances)

Comme vous pouvez le constater, les lignes sont numérotées par incréments de 10. Vous pouvez insérer une nouvelle ligne n'importe où sur la feuille à l'aide du numéro :

Routeur (conf) # routeur INET étendu de liste d'accès IP (config-ext-nacl) # 5 autorise l'hôte IP 10.10.10.10 n'importe quel routeur (config-ext-nacl) # 223 refuse l'hôte IP 1.1.1.1 n'importe quel routeur (config-ext -nacl)# end router# sh access-list INET Liste d'accès IP étendue INET 5 permit ip host 10.10.10.10 any 10 deny tcp any host 172.16.30.2 eq 22 (150 matches) 20 deny ip 192.168.160.0 0.0.31.255 any ( 4 correspondances) 30 autorisation IP quelconque (1556 correspondances) 223 refus ip hôte 1.1.1.1 quelconque

Vous pouvez supprimer une ligne distincte d'une feuille par numéro, ou en spécifiant complètement la ligne avec le préfixe « non ». Par exemple comme ceci :

Routeur (conf) # liste d'accès IP routeur INET étendu (config-ext-nacl) # pas d'autorisation hôte IP 10.10.10.10 tout

Routeur (config-ext-nacl)# non 223

Vous pouvez supprimer complètement une liste d'accès en spécifiant la commande appropriée et « non » :

Routeur (conf) # pas de liste d'accès IP étendue INET

Options ACE avancées

autoriser icmp vs. permis IP

Les ACE de refus qui vérifient les informations de couche 4 ne correspondent jamais à un fragment, sauf si le fragment contient des informations de couche 4.

Classer le trafic à l'aide des ACL

Débogage des ACL IP

Vlan-ACL (VACL)

La carte VLAN est appliquée à tous les paquets pontés. L'ACL du routeur est réservée aux personnes routées. Si

1. Carte VLAN pour l'entrée VLAN10

2. Entrée du routeur ACL / int VLAN10

3.routage du VLAN10 vers le VLAN 20

4. Routeur de sortie ACL / int VLAN20

5. Carte VLAN pour la sortie VLAN20

liste d'accès IP étendue WIFIHOSTEL permis ip 10.12.0.0 0.0.255.255 hôte 212.192.64.2 permis ip hôte 212.192.64.2 10.12.0.0 0.0.255.255 refuser ip tout ! carte d'accès vlan WIFIHOSTEL 10 correspondance adresse IP WIFIHOSTEL action en avant ! filtre vlan WIFIHOSTEL liste vlan 534

Pour garantir le filtrage des paquets, des listes de contrôle d'accès sont configurées sur les routeurs Cisco. Il s'agit d'un ensemble de paramètres et de filtres qui vous permettent de configurer de manière flexible les paramètres de sécurité. L'administrateur système est en mesure de choisir le trafic entrant et sortant à autoriser en utilisant un grand nombre de critères disponibles.

Nous allons maintenant examiner de plus près les ACL et apprendre à les configurer..

Introduction

Imaginons donc que notre petit réseau local ait été créé et qu'un routeur Cisco soit utilisé comme équipement actif. Un grand nombre de trafics différents y transitent. Et l’ingénieur réseau doit le filtrer. C'est là que commencent les listes de contrôle d'accès.

C'est l'un des principaux moyens d'assurer la sécurité du réseau. L'idée est de bloquer ou d'empêcher l'accès à la fois au trafic vers un segment de réseau spécifique et à un utilisateur à un type de trafic spécifique.

Les ACL sont divisées en standard et étendues.

Principales caractéristiques

• Le filtrage du trafic est possible aussi bien à l'entrée qu'à la sortie du trafic de l'interface sélectionnée
• Pour les données qui doivent être autorisées, l'attribut permit est appliqué. Pour ceux qui devraient être rejetés - refusez
• Les listes de contrôle d'accès sont configurées de telle manière que si le trafic ne relève pas de plus d'une règle spécifiée dans la liste, il sera automatiquement refusé.

La figure ci-dessous montre la logique de filtrage des paquets par rapport à l'emplacement de l'ACL sur le routeur.

Ainsi, lorsque le trafic commence à circuler, le routeur vérifie les champs du paquet par rapport à la liste des règles de l'ACL. S'ils sont trouvés, l'action configurée pour ce type de paquet sera appliquée - autoriser ou refuser. Si aucune correspondance n’est trouvée, le trafic sera automatiquement bloqué.

Listes de contrôle d'accès standard

La commande de configuration sur les routeurs Cisco a la syntaxe suivante.

liste d'accès numéro de liste(refuser | autoriser) expéditeur [masque d'expéditeur inversé]

Vous pouvez spécifier séquentiellement plusieurs règles pour une ACL, en indiquant son numéro à l'endroit approprié.

Veuillez noter . La numérotation ACL standard est disponible dans les plages 1-99 et 1300-1999.

Ainsi, l’algorithme de réglage peut être décrit comme suit :

1. Détermination de l'emplacement de l'ACL - interface et direction des données
2. En mode de configuration globale, nous spécifions les règles à l'aide de la commande access-list. Utilisez l'aide "?" pour afficher les options disponibles.
3. En mode configuration de l'interface, on lui attribue la liste correspondante - numéro de groupe d'accès IP (entrée | sortie)

Listes de contrôle d'accès étendues

Ce type de filtrage permet de vérifier le trafic pour un grand nombre de paramètres. Les critères suivants sont disponibles :

Paramètres

Le principe général n'a pas changé. Vous devez définir l'interface et le sens du trafic, puis spécifier une liste de paramètres de filtrage. La liste elle-même est créée et configurée comme suit :

Liste d'accès IP numéro de liste d'accès ] (refuser | permis) protocole source source-wildcard destination destination-wildcard Liste d'accès ICMP numéro de liste d'accès ] (refuser | permis) source icmp source-wildcard destination destination-wildcard | ] Liste d'accès TCP numéro de liste d'accès ] (refuser | permis) source TCP source-wildcard ] destination destination-wildcard ] liste d'accès UDP numéro de liste d'accès ] (refuser | permis) source udp source-wildcard ] destination destination -caractère générique ] cisco.com

Vidéo pour l'article :

Conclusion

Les ACL Cisco sont un puissant outil de sécurité réseau. Utilisez-le pour filtrer votre trafic. Mais rappelez-vous les fonctionnalités. Si vous spécifiez des paramètres de filtrage incorrects, le trafic « correct » risque de ne pas atteindre le destinataire.

Pourquoi chercher des informations sur d’autres sites si tout est rassemblé ici ?