Ccna 61 Acl

ACL
Access-List
eLearnCisco 2010 1
10.0.1.0/24 Objectif
Fa0/0 10.0.3.0/24
10.0.2.0/24
eLearnCisco 2010 2
10.0.1.0/24 Solution : ACL
Fa0/0 10.0.3.0/24
10.0.2.0/24
1. CRER le filtre :
access-list 1 permit 10.0.1.0 0.0.0.255
access-list 1 deny 10.0.2.0 0.0.0.255
2. APPLIQUER le filtre sur une int :
interface fa0/0
ip access-group 1 out
eLearnCisco 2010 3
ACL standard
Filtrer selon l@ IP source
Son identifiant global est un numro
entre 1 et 99
Chaque ligne de lACL se voit attribuer
automatiquement un numro de ligne qui
incrmente de 10 en 10
eLearnCisco 2010 4
Numros de ligne
show ip access-list
access-list 1
10 permit 10.0.1.0 0.0.0.255
20 deny 10.0.2.0 0.0.0.255
Chaque ligne sera teste une par une,
dans lordre.
Si l@ IP source appartient la population de
la ligne, la commande deny/permit est
excute
Sinon, la ligne suivante est teste.
eLearnCisco 2010 5
Raccourcis
Pour filtrer selon une seule addresse :
Exemple : autoriser le 10.1.1.1
access-list 1 permit host 10.1.1.1
Pour filtrer quelque soit laddresse :
Exemple : autoriser toute address
access-list 1 permit any
eLearnCisco 2010 6
Dernire ligne
Pour toute ACL, lIOS rajoute une dernire
ligne avec deny any.
Cette ligne napparait pas dans le show ip
access-list
Comment optimiser notre ACL 1 ?
eLearnCisco 2010 7
10.0.1.0/24 Exemple 1
10.0.2.0/24
Fa0/0 10.0.9.0/24
10.0.3.0/24
10.0.4.0/24

access-list 1 deny 10.0.2.0 0.0.0.255
access-list 1 deny 10.0.4.0 0.0.0.255
optimisable ?
eLearnCisco 2010 8
Exemple 2
Autoriser tous les 10.0.0.0 /8
Sauf, les 10.1.0.0/16 qui sont interdits
Par contre, les 10.1.2.0/24 sont autoriss
Mais les 10.1.2.18 et 10.1.2.33 sont interdits
access-list 1 deny 10.1.0.0 0.0.255.255
access-list 1 deny host 10.1.2.18
NE FONCTIONNERA PAS !!
eLearnCisco 2010 9
Exemple 2 - schma
10.0.0.0/8
10.1.0.0/16
10.1.2.0/24
eLearnCisco 2010 10
Exemple 2 bonne rponse
de PLUS prcis au MOINS prcis
access-list 1 deny 10.1.0.0 0.0.255.255
eLearnCisco 2010 11
Appliquer lACL sur une interface
Deux possibilits :
filtrer le traffic entrant
filtrer le traffic sortant
Deux commandes :
interface Fa0/0
ip access-group 1 in
Mais une seule ACL
par interface et par direction
eLearnCisco 2010 12
ACL tendues
Capable de filtrer selon 5 critres
protocole
@ IP source
port source (optionnel)
@ IP destination
port destination (optionnel)
Son identifiant global est un numro
entre 100 et 199
eLearnCisco 2010 13
Standard vs tendue
permit
@ IP source ?
deny
@ IP source ?
port source ? permit
protocol ?
@ IP dest ? deny
port dest ?
eLearnCisco 2010 14
Utilit dune ACL tendue
telnet
10.0.11.0/24 Fa0/1 Fa0/0 10.0.12.0/24
web
Autoriser 10.0.11.0/24 aller sur

10.0.12.0/24 en telnet, mais pas en http
eLearnCisco 2010 15
Solutions
telnet
10.0.11.0/24 Fa0/1 Fa0/0 10.0.12.0/24
web
1. CRER le filtre :
access-list 100 permit tcp 10.0.11.0 0.0.0.255 10.0.12.0 0.0.0.255 eq 23
access-list 100 deny tcp 10.0.11.0 0.0.0.255 10.0.12.0 0.0.0.255 eq 80
2. APPLIQUER le filtre linterface :
int fa0/0
ip access-group 100 ?
OU
int fa0/1
ip access-group 100 ?
Quelle solution est prfrable ?
eLearnCisco 2010 16
Dtail de lACL
access- Iden- permit Proto @ IP Masque Port @ IP Masque Port
list tifiant ou cole Source Source Source Dest Dest. Dest.
deny
access-list 100 permit tcp 10.0.11.0 0.0.0.255 10.0.12.0 0.0.0.255 eq 23
ip neq
udp lt
ospf gt
eigrp range
etc..
eLearnCisco 2010 17
Oprateurs
Oprateurs disponibles pour filtrer le port :

eq equal
neq not equal
lt less than
gt greater than
range plage
eLearnCisco 2010 18
10.0.1.0/24 Exercice 1
10.0.9.0/24
10.0.2.0/24
Fa0/1 Fa0/0
10.0.3.0/24
10.0.19.0/24
10.0.4.0/24
eLearnCisco 2010 19
10.0.1.0/24 Solution 1
10.0.9.0/24
10.0.2.0/24
Fa0/1 Fa0/0
10.0.3.0/24
10.0.19.0/24
10.0.4.0/24
access- 100 permit ip 10.0.1.0 0.0.0.255 10.0.9.0 0.0.0.255

list
access- 100 permit ip 10.0.2.0 0.0.0.255 10.0.19.0 0.0.0.255
list
access- 100 permit ip 10.0.3.0 0.0.0.255 10.0.9.0 0.0.0.255
list
access- 100 permit ip 10.0.3.0 0.0.0.255 10.0.19.0 0.0.0.255
list
eLearnCisco 2010 20
Optimisation
access-list 100 permit ip 10.0.1.0 0.0.0.255 10.0.9.0 0.0.0.255
eLearnCisco 2010 21
Explications
10. 0. 2. 0 /24 traduire
00001010 00000000 00000010 ???????? en binaire
10. 0. 3. 0 /24 traduire

00001010 00000000 00000011 ???????? en binaire
10. 0. 2 ou 3. 0 /24 traduire

00001010 00000000 0000001? ???????? en binaire
00001010 00000000 00000010 00000000

traduire
en dcimal
10. 0. 2. 0 /23
eLearnCisco 2010 22
10.0.1.0/24 Exercice 2
10.0.9.0/24
10.0.2.0/24
Fa0/1 Fa0/0
10.0.3.0/24
10.0.19.0/24
10.0.4.0/24
tout est autoris

tout est autoris sauf accs aux serveurs web de 10.0.19.0/26
tout est autoris sauf accs en telnet et ssh aux quipements
10.0.19.1, 10.0.19.2, et 10.0.19.3
rien nest autoris
rien nest autoris sauf ping
rien nest autoris sauf ospf 2010
eLearnCisco 23
Solution 2
access-list 100 deny tcp 10.0.2.0 0.0.0.255 host 10.0.19.1 eq 23
access-list 100 permit icmp 10.0.2.0 0.0.0.255 10.0.9.0 0.0.0.255 echo
access-list 100 permit icmp 10.0.2.0 0.0.0.255 10.0.9.0 0.0.0.255 echo-
reply
access-list 100 permit ospf 10.0.1.0 0.0.0.255 10.0.19.0 0.0.0.255
eLearnCisco 2010 24
Optimisation 1
Convertir 1 en binaire = 0 0 0 0 0 0 0 1
Pour obtenir 1 ou 3, quels bits = 0 0 0 0 0 0 X 1
sont figs ?
Masque invers = 0 0 0 0 0 0 1 0
On obtient 2 en dcimal = 0 0 0 0 0 0 1 0
eLearnCisco 2010 25
Optimisation 2
Pour obtenir 0, 1 2 ou 3, quels = 0 0 0 0 0 0 X X
bits sont figs ?
Masque invers = 0 0 0 0 0 0 1 1

eLearnCisco 2010 26
Optimisation 3
Pour obtenir 0, 1 2 ou 3, quels = 0 0 0 0 0 0 X X
bits sont figs ?
Masque invers = 0 0 0 0 0 0 1 1

eLearnCisco 2010 27
Optimisation 4
access-list 100 deny tcp 10.0.2.0 0.0.0.255 10.0.19.0 0.0.0.3 range

22 23
eLearnCisco 2010 28
Solution optimise

access-list 100 deny tcp 10.0.2.0 0.0.0.255 10.0.19.0 0.0.0.3 range
22 23
access-list 100 permit icmp 10.0.2.0 0.0.0.255 10.0.9.0 0.0.0.255 echo
access-list 100 permit icmp 10.0.2.0 0.0.0.255 10.0.9.0 0.0.0.255 echo-
reply
access-list 100 permit ospf 10.0.1.0 0.0.0.255 10.0.19.0 0.0.0.255
eLearnCisco 2010 29
ACL nommes
ip access-list standard TOTO
permit .
deny.
ip access-list extended TATA
permit .
deny.
idem pour appliquer lACL sur une interface
int fa0/0
ip access-group TOTO in | out
eLearnCisco 2010 30
Avantages des ACL nommes
possibilit de supprimer une ligne :
no 20
supprime la ligne 20
possibilit dinsrer une ligne :
33 permit .
entre la ligne 30 et la ligne 40
eLearnCisco 2010 31
Traffic filtr
Les ACL ne filtrent que le traffic qui
traverse le routeur.
Elle ne filtrent pas le traffic gnr par le

routeur.
Cette rgles sapplique toutes les ACL

nommes ou numrotes
standards ou tendues
eLearnCisco 2010 32
Exemple
Fa0/0
R1 R2 R3
Sur R2:
access-list 100 deny tcp any any eq 23
access-list 100 permit ip any any
int fa0/0
Est-ce que R1 peut faire un telnet vers R3 ?
Est-ce que R2 peut faire un telnet vers R3 ?
eLearnCisco 2010 33
Cas particulier du TELNET
Au lieu dappliquer une ACL
sur une interface physique,
on peut lappliquer sur les lignes vty.
Objectif = filtrer les individus qui peuvent

accder au routeur / switch.
eLearnCisco 2010 34
Exemple
access-list 1 permit host 10.0.0.1
line vty 0 4
access-class 1 in
seul lindividu 10.0.0.1 pourra faire un

telnet sur cet quipement
eLearnCisco 2010 35
Exercice
Seuls les administrateurs peuvent accder
aux routeurs.
Les routeurs ont tous une loopback en
192.168.10.0 /24.
Les administrateurs sont tous sur le
rseau 10.1.128.0/17.
Un administrateur ne doit pas pouvoir
accder aux routeurs. Son adresse est
10.1.128.200
eLearnCisco 2010 36
Solution
conf t

line vty 0 4
access-class 1 in
eLearnCisco 2010 37
LAB
Aprs le lab :
retirer lACL sur linterface
obtenir le mme rsultat avec une ACL
appliquer sur les lignes vty
eLearnCisco 2010 38

Ccna 61 Acl

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Ccna 61 Acl

Загружено:

Авторское право:

Доступные форматы

ACL

access-list 1 permit 10.0.1.0 0.0.0.255

10.0.11.0/24 Fa0/1 Fa0/0 10.0.12.0/24

Autoriser 10.0.11.0/24 aller sur

10.0.11.0/24 Fa0/1 Fa0/0 10.0.12.0/24

access-list 100 deny tcp 10.0.11.0 0.0.0.255 10.0.12.0 0.0.0.255 eq 80

Oprateurs disponibles pour filtrer le port :

access- 100 permit ip 10.0.1.0 0.0.0.255 10.0.9.0 0.0.0.255

access-list 100 permit ip 10.0.2.0 0.0.0.255 10.0.19.0 0.0.0.255

access-list 100 permit ip 10.0.3.0 0.0.0.255 10.0.9.0 0.0.0.255

access-list 100 permit ip 10.0.3.0 0.0.0.255 10.0.19.0 0.0.0.255

access-list 100 permit ip 10.0.1.0 0.0.0.255 10.0.9.0 0.0.0.255

access-list 100 permit ip 10.0.2.0 0.0.1.255 10.0.19.0 0.0.0.255

access-list 100 permit ip 10.0.3.0 0.0.0.255 10.0.9.0 0.0.0.255

10. 0. 3. 0 /24 traduire

10. 0. 2 ou 3. 0 /24 traduire

00001010 00000000 00000010 00000000

tout est autoris

access-list 100 permit ip 10.0.1.0 0.0.2.255 10.0.9.0 0.0.0.255

access-list 100 deny tcp 10.0.2.0 0.0.0.255 10.0.19.0 0.0.0.3 eq 23

access-list 100 deny tcp 10.0.2.0 0.0.0.255 10.0.19.0 0.0.0.3 eq 22

access-list 100 deny tcp 10.0.2.0 0.0.0.255 10.0.19.0 0.0.0.3 eq 23

access-list 100 deny tcp 10.0.2.0 0.0.0.255 10.0.19.0 0.0.0.3 range

access-list 100 permit ip 10.0.1.0 0.0.2.255 10.0.9.0 0.0.0.255

Elle ne filtrent pas le traffic gnr par le

Cette rgles sapplique toutes les ACL

Objectif = filtrer les individus qui peuvent

seul lindividu 10.0.0.1 pourra faire un

access-list 1 deny host 10.1.128.200

Вам также может понравиться