Pour ceux d’entre vous qui sont familiers avec les listes de contrôle d’accès, vous savez probablement qu’il existe de nombreux types de listes de contrôle d’accès. Nous avons des listes de contrôle d’accès pour IP version 4, pour IP version 6, pour IPX, pour DECnet, pour AppleTalk et la liste est encore longue. De quoi êtes-vous responsables ? Nous sommes responsables de la version 4 d’IP à ce stade, et c’est là que nous nous concentrons, la version 4 d’IP. Et nous pouvons diviser les listes de contrôle d’accès IP version 4 en deux types différents, standard et étendu. Quelle est la différence ici ?
- ACL standard
- Vérifie l’adresse source de l’ACL
- Permet ou refuse toute la suite de protocoles
- ACL étendue
- Vérifie l’adresse de source et de destination
- Autorise ou refuse généralement des protocoles et des applications spécifiques
- Ports TCP et UDP de source et de destination
- Type de protocole (IP, ICMP, UDP, TCP ou numéro de protocole)
Bien c’est quels paramètres ils recherchent et je veux que vous lisiez la norme, qu’est-ce que cette norme recherche ici ? Qu’est-ce qu’elle vérifie ? Je veux que vous lisiez ça. Et je vais vous montrer une façon de vous en souvenir. Vous voyez donc que la norme ne regarde pas la destination, ce qui, d’un point de vue pratique, n’est pas très utile. Le fait de ne pas pouvoir chercher la destination est assez limitatif, vous voulez généralement chercher d’où ça vient et où ça va. Mais une liste d’accès standard a quelque chose en commun avec l’adresse source, n’est-ce pas ? C’est la lettre S, c’est un excellent moyen de se rappeler que les listes d’accès standard ne regardent que la source.
Les listes de contrôle d’accès étendues, ou ACL étendues, d’autre part, elles sont beaucoup plus puissantes, elles peuvent regarder la source et la destination, elles peuvent regarder les protocoles de la couche transport comme TCP et User Data Protocol, ou UDP. Elles peuvent examiner les protocoles de la couche application sur TCP et UDP, tels que HTTP, FTP, Trivial File Transport Protocol, ou TFTP, DNS, secure sockets layer, et secure shell. Cela semble beaucoup, alors comment se rappeler que les listes d’accès étendues peuvent correspondre à bien plus que les listes de contrôle d’accès standard ? Eh bien, lorsque nous faisions référence à nos listes de contrôle d’accès standard, nous avons souligné qu’elles ne vérifiaient que l’adresse source. Standard commence par S, source commence par S aussi.
Je m’en souviens donc comme standard, source seulement, S et S, alors qu’avec extended, on a tout le reste. Donc le E nous aide à nous souvenir de tout. Maintenant, il y a certaines choses que nous ne pouvons pas faire correspondre. Nous ne pouvons pas faire correspondre les numéros de séquence, les numéros d’accusé de réception, nous ne pouvons pas faire correspondre la plupart des drapeaux dans TCP par exemple, nous pouvons faire correspondre l’un d’entre eux et envoyer un bit. Mais c’est beaucoup plus inclusif et nous sommes donc plus proches de tout. Gardez à l’esprit que lorsque nous entrons ces données, nous avons deux ensembles de syntaxe, l’ancienne et la nouvelle syntaxe. Et nous allons vous exposer aux deux.
L’ancienne syntaxe est numérotée, la nouvelle syntaxe est nommée, et la syntaxe numérotée, c’est un peu délicat. On ne rencontre pas si souvent que ça des noms numériques. Dans la liste d’accès standard numérotée, nous avons de un à 99. Il y a une plage étendue dont nous nous écartons, il n’y a plus de raison de l’utiliser. De 1300 à 1999, nous ne l’utilisons pas, ok, évitez-la. Mais de 1 à 99, c’est standard, de 100 à 199, c’est étendu et la façon de se souvenir de cette gamme est qu’elle se termine toujours par 99, chaque gamme se termine par 99 quelque chose. Et quand nous étendons à une valeur à trois chiffres, quand nous sautons de deux chiffres à trois chiffres, nous étendons et donc nous obtenons la gamme étendue de liste d’accès IP.
| Type de liste d’accès IPv4 | Gamme de numéros / Identifiant |
|---|---|
| Numérotée standard | 1-99, 1300-1999 |
| Numérotée étendue | 100-199, 2000-2699 |
| Nommé (standard et étendu) | Nommé |
Mais c’est la syntaxe dont nous sommes franchement plus responsables, mais que nous avons depuis une bonne partie de la décennie maintenant, les listes de contrôle d’accès nommées. En fait, cela fait plus d’une décennie au moment où nous parlons. Quel est l’avantage d’une liste de contrôle d’accès nominative ? La liste de contrôle d’accès nommée, tout d’abord, nous permet de fournir un nom descriptif. Ainsi, au lieu d’appeler notre liste de contrôle d’accès 79, nous pouvons fournir un nom descriptif et ce nom peut nous aider à comprendre ce que la liste de contrôle d’accès est censée accomplir. Mais ce dont nous bénéficions vraiment en utilisant des listes de contrôle d’accès nommées, c’est la possibilité de les modifier, d’ajouter et de supprimer des entrées dans cette ACL.
Vous voyez, avec des listes de contrôle d’accès numérotées, si vous avez besoin d’ajouter une entrée, lorsque vous allez à l’interface de ligne de commande et que vous voulez ajouter une entrée, celle-ci sera examinée avant une entrée que vous avez déjà là. Il n’est pas possible d’y aller et de l’ajouter, la syntaxe de création ne permet pas de le faire. Vous êtes donc limité dans votre capacité d’édition, que devez-vous faire ? Tout effacer, tout recréer. Le bloc-notes est donc très pratique. Très bien, mais avec la liste de contrôle d’accès nommée, nous avons la possibilité d’aller dans la syntaxe de la liste de contrôle d’accès nommée, d’ajouter, de déplacer, de supprimer, de modifier ces entrées dans la liste de contrôle d’accès, comme bon nous semble.
Tellement plus puissante, la syntaxe de la liste de contrôle d’accès nommée. Mais ne nous méprenons pas ici. L’identification de la liste de contrôle d’accès numérotée, comme 1, 2, 3, 4 ou 100 ou 150, c’est toujours le nom de la liste de contrôle d’accès. Et vous le verrez plus tard, vous utiliserez la syntaxe des listes de contrôle d’accès nommées pour modifier une liste de contrôle d’accès numérotée. C’est plutôt cool et nous vous donnerons la possibilité de modifier et de corriger vos erreurs avec votre liste de contrôle d’accès numérotée sans avoir à la supprimer entièrement. Donc une syntaxe vraiment géniale et vous l’apprendrez et vous l’aimerez et nous verrons tout, toute la syntaxe au fur et à mesure que nous progressons dans ce cours ensemble.
Listes de contrôle d’accès numérotées standard
Liste d’accès standard, que cherchent-ils ? Je vous le demande, qu’est-ce qu’elles recherchent ? Ils cherchent le paramètre source et ici nous pouvons le voir. Donc, ils ne vont pas se préoccuper de l’en-tête de la trame de la couche 2, ils vont regarder l’en-tête du paquet, ils vont regarder le champ source dans l’en-tête du paquet et correspondre sur la base de cela exclusivement. Ils ne vont donc pas aller plus loin dans la couche transport. Et aucun d’entre eux ne va dans les données, d’accord. Vous auriez à utiliser certaines fonctionnalités avancées du pare-feu pour filtrer en fonction des données.
Voici ce que nous attendions, la syntaxe, et ce n’est pas trop compliqué, notez-le bien. Ce n’est pas excessivement compliqué. Avant tout, nous configurons les listes de contrôle d’accès numérotées en mode de configuration globale. Nous tapons access-list et ensuite nous spécifions le numéro de la liste d’accès. Ce sont des listes de contrôle d’accès IPv4 standard, quelles sont les plages de numéros ? De 1 à 99 et de 1300 à 1999. Lorsque nous spécifions un numéro parmi ces valeurs possibles, notre routeur sait automatiquement que nous créons une liste de contrôle d’accès IPv4 standard et il vous fournira la syntaxe correcte à utiliser.
Il ne vous laissera pas mettre des paramètres qui ne sont pas acceptables pour la liste de contrôle d’accès IP version 4 standard. Donc, vous mettez le mauvais numéro, si vous mettez un 101, où vous essayez de créer une liste de contrôle d’accès IP version 4 standard, il vous donnera la syntaxe pour une liste de contrôle d’accès étendue, n’est-ce pas ? Donc faites attention à votre numérotation, choisissez les bons numéros et ensuite vous spécifiez ce que vous voulez qu’il arrive à ce trafic. Vous voulez l’autoriser ? Le refuser ? Vous pouvez aussi mettre une remarque, qu’est-ce qu’une remarque ? C’est juste une description. Vous pouvez donc décrire cette liste de contrôle d’accès, de sorte que lorsque vous examinerez la liste de contrôle d’accès plus tard, vous saurez à quoi elle sert.
R1(config)#R1(config)#access-list 1 ?deny Spécifier les paquets à rejeterpermit Spécifier les paquets à transférerremark Commentaire de l’entrée de la liste d’accèsR1(config)#access-list 1 permit ?Nom d’hôte ou adresse A.B.C.D à correspondreany Tout hôte sourcehost Une seule adresse d’hôteR1(config)#access-list 1 permit 172.16.0.0 ?/nn ou A.B.C.D Bits de caractère génériquejournal Les correspondances avec cette entrée<cr>R1(config)#access-list 1 permit 172.16.0.0 0.0.255.255 ?log Enregistrer les correspondances avec cette entrée<cr>R1(config)#access-list 1 permit 172.16.0.0.0.255.255R1(config)#
Puis nous avons notre source, quelle est la source ? Rappelez-vous, plus tôt, quand nous regardions les adresses et les combinaisons de masques joker…. Eh bien la source est l’adresse source, ce point de départ que nous voulons utiliser pour cette comparaison de plage. Donc si on regarde notre exemple, on a 172.16.0.0 comme adresse, la source et ensuite le masque. Quel est le masque ? Attention, il ne s’agit pas, je répète, il ne s’agit pas du masque de sous-réseau. C’est le masque joker. C’est ici qu’on met le masque de remplacement. Donc dans notre exemple 0.0.255.255, quelle est la gamme d’adresses que cette liste de contrôle d’accès, que nous venons de créer, va vérifier ? 172.16.0.0 à 172.16.255.255.
Vous voyez donc l’importance de ce masque joker, et comprendre ce qu’il fait, vous aidera à les créer et à les lire. Il est dit ici qu’il y a un masque joker par défaut, prenez ça avec un grain de sel, votre système d’exploitation en général n’acceptera plus la syntaxe quand vous mettez une entrée dans votre liste de contrôle d’accès qui n’a pas de masque joker. Bon, il s’agit là d’un comportement ancien qui n’est pas représentatif d’un comportement récent. Lorsque nous introduisons une entrée telle que celle que nous voyons en mode de configuration globale avec access-list, il ne s’agit que d’une entrée. Gardez à l’esprit que si nous voulions ajouter une autre entrée, nous aurions toujours access-list 1, puis nous construirions la séquence suivante de permission ou de refus. access-list 1 encore, access-list 1 encore, si nous voulons construire une liste de contrôle d’accès de plus en plus grande. Quelle est la taille minimale d’une liste de contrôle d’accès ?
Une taille minimale serait une déclaration de permis. Oui je suppose qu’il ne peut pas y avoir qu’une seule déclaration de refus, ça ne servirait à rien, sauf si vous faites de la journalisation, mais ça ne laisserait rien passer. Et le maximum est ce que vous pouvez imaginer et ce pour quoi vous avez de l’endurance. Une fois que vous avez perfectionné votre liste de contrôle d’accès en mode de configuration globale, comme nous le voyons ici, vous pouvez la valider. Mais pour montrer les listes d’accès, commande et cela montrerait en fait toutes les listes d’accès, IPv4, IPv6, liste d’accès par adresse Mac, IPX, AppleTalk, mais généralement nous avons juste IPv4 et peut être aujourd’hui quelques IPv6.
R1#show access-listsStandard IP access list 110 permit 172.16.0.0, wildcard bits 0.0.255.255
Et nous pouvons voir la seule entrée. Maintenant, attendez une minute, attendez une minute, nous avons mis dans le permis 172.16 avec ce masque de joker, c’est quoi le 10 là ? C’est quoi ce 10 qui vient de surgir à l’intérieur de notre liste d’accès ? Le 10 est un numéro de séquence automatique qui est ajouté à la liste d’accès. Il sera de 10 par défaut. Si nous devions créer une autre entrée… nous tapons donc access-list 1 permit 192.168.1.0 0.0.0.255, un numéro de séquence lui serait automatiquement attribué. Et ce serait 20, le suivant dans la liste et le suivant sera 30 et 40 et 50, c’est comme ça que nous en gardons la trace, le numéro de séquence, l’ordre dans lequel nous les avons créés.
Et c’est important, rappelez-vous comment nous avons dit, si nous voulons modifier la liste de contrôle d’accès, nous pourrions vouloir ajouter une entrée ici et là, mais nous ne pouvons le faire qu’avec la syntaxe nommée, nous sommes incapables de le faire ici avec cette syntaxe de numérotation standard, mais ces numéros de séquence seront le facteur de définition de l’endroit où va notre entrée. Si nous ajoutons ou déplaçons ou supprimons ou modifions et nous verrons cela plus tard, nous verrons cela plus tard seulement lorsque nous entrerons dans la syntaxe de liste de contrôle d’accès nommée de la façon dont ces numéros de séquence peuvent être utilisés et manipulés à notre avantage.
Supprimer une liste d’accès est très facile, rappelez-vous que la commande no puissante, tapez no access-list et ensuite le numéro de la liste d’accès que vous voulez supprimer. Attention, attention. Disons que vous avez tapé no access-list 1 permit 172.16.0.0 0.0.255.255. Vous voulez donc supprimer une entrée de liste d’accès standard que vous avez créée précédemment. Vous tapez no et vous spécifiez la commande entière que vous avez tapée auparavant, est-ce que cela va supprimer juste cette entrée ? Je répète, est-ce que ça va supprimer juste cette entrée ? À première vue, oui, c’est ce que je pense, mais si vous essayez et que vous le testez ? Non, ce n’est pas ce qui va se passer. Ça ne supprimera pas juste cette entrée, qu’est-ce que ça fera ? Il va se débarrasser de l’ensemble, donc certains d’entre vous ont été exposés à cela. C’est vraiment un comportement bizarre dans l’IOS.
R1#config t
Entrer les commandes de configuration, une par ligne. Terminez avec CNTL/Z.
R1(config)#no access-list 1
R1(config)#end
R1#sh access-lists
R1#
Normalement, lorsque nous entrons une commande spécifique et que nous la mettons en tant que no, cela supprime juste cette seule commande. Ici, il faut faire très attention à la syntaxe, peu importe, vous dites non liste d’accès, donnez-lui un numéro. Je me fiche de ce qui se passe ensuite, ça va écraser toute la liste d’accès et beaucoup de mauvaises journées ont été causées par ce comportement.
