admin

Prérequis – Listes d’accès (ACL)
Les listes d’accès (ACL) sont un ensemble de règles définies pour contrôler le trafic réseau et réduire les attaques réseau. Les ACL sont utilisées pour filtrer le trafic en fonction de l’ensemble des règles définies pour l’entrée ou la sortie du réseau.

Liste d’accès standard –
Ce sont les listes d’accès qui sont faites en utilisant l’adresse IP source uniquement. Ces ACL autorisent ou refusent toute la suite de protocoles. Elles ne font pas de distinction entre le trafic IP tel que TCP, UDP, Https, etc. En utilisant les chiffres 1-99 ou 1300-1999, le routeur le comprendra comme une ACL standard et l’adresse spécifiée comme adresse IP source.

Caractéristiques –

  1. La liste d’accès standard est généralement appliquée près de la destination (mais pas toujours).
  2. Dans la liste d’accès standard, tout le réseau ou le sous-réseau est refusé.
  3. La liste d’accès standard utilise la plage 1-99 et la plage étendue 1300-1999.
  4. La liste d’accès standard est mise en œuvre en utilisant l’adresse IP source uniquement.
  5. Si la numérotation avec la liste d’accès standard est utilisée alors les règles mémorisées ne peuvent pas être supprimées. Si l’une des règles est supprimée alors toute la liste d’accès sera supprimée.
  6. Si named with standard Access-list est utilisé alors vous avez la flexibilité de supprimer une règle de la liste d’accès.

Note – Les listes d’accès standard sont moins utilisées par rapport aux listes d’accès étendues car toute la suite de protocoles IP sera autorisée ou refusée pour le trafic car elle ne peut pas distinguer les différents protocoles IP.

Configuration –

Voici une petite topologie dans laquelle il y a 3 départements à savoir les ventes, les finances et le marketing. Le département des ventes ayant le réseau 172.16.40.0/24, le département des finances ayant le réseau 172.16.50.0/24 et le département du marketing ayant le réseau 172.16.60.0/24. Maintenant, voulez refuser la connexion du département des ventes au département des finances et permettre aux autres d’atteindre ce réseau.

Maintenant, configurer d’abord la liste d’accès standard numérotée – pour refuser toute connexion IP du département des ventes au département des finances.

R1# config terminalR1(config)# access-list 10 deny 172.16.40.0 0.0.0.255

Ici, comme la liste d’accès étendue, vous ne pouvez pas spécifier le trafic IP particulier à autoriser ou à refuser. Notez également que le masque générique a été utilisé (0.0.0.255, ce qui signifie le masque de sous-réseau 255.255.255.0). 10 est utilisé à partir de la gamme de listes d’accès standard numérique. 

R1(config)# access-list 110 permit ip any any

Maintenant, comme vous le savez déjà il y a un deny implicite à la fin de chaque access-list ce qui signifie que si le trafic ne correspond à aucune des règles de l’access-list alors le trafic sera abandonné.
En spécifiant any signifie que la source ayant n’importe quelle adresse ip le trafic atteindra le département des finances sauf le trafic qu’il correspond aux règles ci-dessus que vous avez faites.

Maintenant, vous devez appliquer la liste d’accès sur l’interface du routeur:

R1(config)# int fa0/1R1(config-if)# ip access-group 10 out

Comme vous vous rappelez que la liste d’accès standard est généralement appliquée à la destination et ici aussi si vous appliquez une liste d’accès proche de la destination, cela répondra à notre besoin, donc, outbound to interface fa0/1 a été appliqué.

Exemple de liste d’accès standard nommée –

Maintenant, en considérant la même topologie, vous allez faire une liste d’accès standard nommée. 

R1(config)# ip access-list standard blockacl

En utilisant cette commande, vous avez fait une liste d’accès nommée blockacl. 

R1(config-std-nacl)# deny 172.16.40.0 0.0.0.255 R1(config-std-nacl)# permit any

Et ensuite la même configuration que vous avez faite dans la liste d’accès numérotée. 

R1(config)# int fa0/1R1(config-if)# ip access-group blockacl out

Liste d’accès standard pour Telnet exemple –
Comme vous le savez, vous ne pouvez pas spécifier un trafic IP particulier à refuser dans la liste d’accès standard mais la connexion telnet peut être autorisée ou refusée en utilisant la liste d’accès standard en appliquant la liste d’accès sur les lignes vty.

Ici, dans la figure donnée, vous voulez refuser le telnet au département des finances depuis n’importe quel réseau. Configurer pour le même:

R1(config)# access-list 10 deny anyR1(config)# line vty 0 4R1(config-line)# access-class 10 out
Étiquettes d’article :

Tags de pratique :

admin

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

lg