Академический Документы
Профессиональный Документы
Культура Документы
Access-List
eLearnCisco 2010 1
10.0.1.0/24 Objectif
Fa0/0 10.0.3.0/24
10.0.2.0/24
eLearnCisco 2010 2
10.0.1.0/24 Solution : ACL
Fa0/0 10.0.3.0/24
10.0.2.0/24
1. CRER le filtre :
access-list 1 permit 10.0.1.0 0.0.0.255
access-list 1 deny 10.0.2.0 0.0.0.255
2. APPLIQUER le filtre sur une int :
interface fa0/0
ip access-group 1 out
eLearnCisco 2010 3
ACL standard
Filtrer selon l@ IP source
Son identifiant global est un numro
entre 1 et 99
Chaque ligne de lACL se voit attribuer
automatiquement un numro de ligne qui
incrmente de 10 en 10
eLearnCisco 2010 4
Numros de ligne
show ip access-list
access-list 1
10 permit 10.0.1.0 0.0.0.255
20 deny 10.0.2.0 0.0.0.255
Chaque ligne sera teste une par une,
dans lordre.
Si l@ IP source appartient la population de
la ligne, la commande deny/permit est
excute
Sinon, la ligne suivante est teste.
eLearnCisco 2010 5
Raccourcis
Pour filtrer selon une seule addresse :
Exemple : autoriser le 10.1.1.1
access-list 1 permit 10.1.1.1 0.0.0.0
access-list 1 permit host 10.1.1.1
Pour filtrer quelque soit laddresse :
Exemple : autoriser toute address
access-list 1 permit 0.0.0.0 255.255.255.255
access-list 1 permit any
eLearnCisco 2010 6
Dernire ligne
Pour toute ACL, lIOS rajoute une dernire
ligne avec deny any.
Cette ligne napparait pas dans le show ip
access-list
Comment optimiser notre ACL 1 ?
access-list 1 permit 10.0.1.0 0.0.0.255
eLearnCisco 2010 7
10.0.1.0/24 Exemple 1
10.0.2.0/24
Fa0/0 10.0.9.0/24
10.0.3.0/24
10.0.4.0/24
eLearnCisco 2010 9
Exemple 2 - schma
Autoriser tous les 10.0.0.0 /8
Sauf, les 10.1.0.0/16 qui sont interdits
Par contre, les 10.1.2.0/24 sont autoriss
Mais les 10.1.2.18 et 10.1.2.33 sont interdits
10.0.0.0/8
10.1.0.0/16
10.1.2.0/24
eLearnCisco 2010 10
Exemple 2 bonne rponse
Autoriser tous les 10.0.0.0 /8
Sauf, les 10.1.0.0/16 qui sont interdits
Par contre, les 10.1.2.0/24 sont autoriss
Mais les 10.1.2.18 et 10.1.2.33 sont interdits
de PLUS prcis au MOINS prcis
access-list 1 deny host 10.1.2.18
access-list 1 deny host 10.1.2.33
access-list 1 permit 10.1.2.0 0.0.0.255
access-list 1 deny 10.1.0.0 0.0.255.255
access-list 1 permit 10.0.0.0 0.255.255.255
eLearnCisco 2010 11
Appliquer lACL sur une interface
Deux possibilits :
filtrer le traffic entrant
filtrer le traffic sortant
Deux commandes :
interface Fa0/0
ip access-group 1 in
ip access-group 2 out
Mais une seule ACL
par interface et par direction
eLearnCisco 2010 12
ACL tendues
Capable de filtrer selon 5 critres
protocole
@ IP source
port source (optionnel)
@ IP destination
port destination (optionnel)
Son identifiant global est un numro
entre 100 et 199
eLearnCisco 2010 13
Standard vs tendue
permit
@ IP source ?
deny
@ IP source ?
port source ? permit
protocol ?
@ IP dest ? deny
port dest ?
eLearnCisco 2010 14
Utilit dune ACL tendue
telnet
web
eLearnCisco 2010 15
Solutions
telnet
web
1. CRER le filtre :
access-list 100 permit tcp 10.0.11.0 0.0.0.255 10.0.12.0 0.0.0.255 eq 23
access-list 100 deny tcp 10.0.11.0 0.0.0.255 10.0.12.0 0.0.0.255 eq 80
2. APPLIQUER le filtre linterface :
int fa0/0
ip access-group 100 ?
OU
int fa0/1
ip access-group 100 ?
Quelle solution est prfrable ?
eLearnCisco 2010 16
Dtail de lACL
access- Iden- permit Proto @ IP Masque Port @ IP Masque Port
list tifiant ou cole Source Source Source Dest Dest. Dest.
deny
access-list 100 permit tcp 10.0.11.0 0.0.0.255 10.0.12.0 0.0.0.255 eq 23
ip neq
udp lt
ospf gt
eigrp range
etc..
eLearnCisco 2010 17
Oprateurs
eLearnCisco 2010 18
10.0.1.0/24 Exercice 1
10.0.9.0/24
10.0.2.0/24
Fa0/1 Fa0/0
10.0.3.0/24
10.0.19.0/24
10.0.4.0/24
eLearnCisco 2010 19
10.0.1.0/24 Solution 1
10.0.9.0/24
10.0.2.0/24
Fa0/1 Fa0/0
10.0.3.0/24
10.0.19.0/24
10.0.4.0/24
eLearnCisco 2010 21
Explications
10. 0. 2. 0 /24 traduire
00001010 00000000 00000010 ???????? en binaire
eLearnCisco 2010 22
10.0.1.0/24 Exercice 2
10.0.9.0/24
10.0.2.0/24
Fa0/1 Fa0/0
10.0.3.0/24
10.0.19.0/24
10.0.4.0/24
Convertir 1 en binaire = 0 0 0 0 0 0 0 1
Convertir 3 en binaire = 0 0 0 0 0 0 1 1
Pour obtenir 1 ou 3, quels bits = 0 0 0 0 0 0 X 1
sont figs ?
Masque invers = 0 0 0 0 0 0 1 0
On obtient 2 en dcimal = 0 0 0 0 0 0 1 0
eLearnCisco 2010 25
Optimisation 2
access-list 100 deny tcp 10.0.2.0 0.0.0.255 host 10.0.19.1 eq 23
access-list 100 deny tcp 10.0.2.0 0.0.0.255 host 10.0.19.2 eq 23
access-list 100 deny tcp 10.0.2.0 0.0.0.255 host 10.0.19.3 eq 23
Convertir 0 en binaire = 0 0 0 0 0 0 0 0
Convertir 1 en binaire = 0 0 0 0 0 0 0 1
Convertir 2 en binaire = 0 0 0 0 0 0 1 0
Convertir 3 en binaire = 0 0 0 0 0 0 1 1
Pour obtenir 0, 1 2 ou 3, quels = 0 0 0 0 0 0 X X
bits sont figs ?
Masque invers = 0 0 0 0 0 0 1 1
On obtient 3 en dcimal = 0 0 0 0 0 0 1 1
Convertir 0 en binaire = 0 0 0 0 0 0 0 0
Convertir 1 en binaire = 0 0 0 0 0 0 0 1
Convertir 2 en binaire = 0 0 0 0 0 0 1 0
Convertir 3 en binaire = 0 0 0 0 0 0 1 1
Pour obtenir 0, 1 2 ou 3, quels = 0 0 0 0 0 0 X X
bits sont figs ?
Masque invers = 0 0 0 0 0 0 1 1
On obtient 3 en dcimal = 0 0 0 0 0 0 1 1
eLearnCisco 2010 28
Solution optimise
eLearnCisco 2010 29
ACL nommes
ip access-list standard TOTO
permit .
deny.
ip access-list extended TATA
permit .
deny.
idem pour appliquer lACL sur une interface
int fa0/0
ip access-group TOTO in | out
eLearnCisco 2010 30
Avantages des ACL nommes
possibilit de supprimer une ligne :
ip access-list standard TOTO
no 20
supprime la ligne 20
possibilit dinsrer une ligne :
ip access-list standard TOTO
33 permit .
entre la ligne 30 et la ligne 40
eLearnCisco 2010 31
Traffic filtr
Les ACL ne filtrent que le traffic qui
traverse le routeur.
eLearnCisco 2010 32
Exemple
Fa0/0
R1 R2 R3
Sur R2:
access-list 100 deny tcp any any eq 23
access-list 100 permit ip any any
int fa0/0
ip access-group 100 out
Est-ce que R1 peut faire un telnet vers R3 ?
Est-ce que R2 peut faire un telnet vers R3 ?
eLearnCisco 2010 33
Cas particulier du TELNET
Au lieu dappliquer une ACL
sur une interface physique,
on peut lappliquer sur les lignes vty.
eLearnCisco 2010 34
Exemple
access-list 1 permit host 10.0.0.1
line vty 0 4
access-class 1 in
eLearnCisco 2010 35
Exercice
Seuls les administrateurs peuvent accder
aux routeurs.
Les routeurs ont tous une loopback en
192.168.10.0 /24.
Les administrateurs sont tous sur le
rseau 10.1.128.0/17.
Un administrateur ne doit pas pouvoir
accder aux routeurs. Son adresse est
10.1.128.200
eLearnCisco 2010 36
Solution
conf t
line vty 0 4
access-class 1 in
eLearnCisco 2010 37
LAB
Aprs le lab :
retirer lACL sur linterface
obtenir le mme rsultat avec une ACL
appliquer sur les lignes vty
eLearnCisco 2010 38