Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Configuration des listes d'accès IP Contenu Introduction Conditions préalables

Configuration des listes d'accès IP Contenu Introduction Conditions préalables Conditions requises Composants utilisés Conventions Concepts relatifs aux listes de contrôle d'accès Masques Récapitulation des listes de contrôle d'accès Traiter les listes de contrôle d'accès Définir les ports et les types de messages Appliquer les listes de contrôle d'accès Définir les termes interne, externe, entrant, sortant, source et destination Modifier les listes de contrôle d'accès Dépannez Types de listes de contrôle d'accès IP Diagramme du réseau ACLs standard ACLs étendu Verrou et clé (listes de contrôle d'accès dynamiques) Listes de contrôle d'accès nommées IP Listes de contrôle d'accès réflexives Listes de contrôle d'accès basées sur l'heure utilisant des plages temporelles Entrées de liste de contrôle d'accès IP commentées Contrôle d'accès basé sur contexte Proxy d'authentification Listes de contrôle d'accès turbo Listes de contrôle d'accès basées sur l'heure distribuées Listes de contrôle d'accès de réception Listes de contrôle d'accès de protection d'infrastructure Listes de contrôle d'accès de transit Informations connexes Introduction Ce document décrit comment les listes de contrôle d'accès (ACL) IP peuvent filtrer le trafic sur le réseau. Il contient également de brèves descriptions des types de listes de contrôle d'accès IP, de la disponibilité des fonctionnalités et un exemple d'utilisation sur un réseau. Accédez à l'outil de conseiller de logiciel (clients enregistrés seulement) afin de déterminer le support de certaines des fonctionnalités d'ACL plus avancées IP de ï¿½ de Cisco IOS. La RFC 1700 contient les numéros affectés de ports connus. La RFC 1918 contient l'attribution d'adresse pour les sites Internet privés, les adresses IP qui ne devraient normalement pas apparaître sur Internet. Remarque: il est également possible d'utiliser les listes de contrôle d'accès à des fins autres que le filtrage du trafic IP, par exemple pour définir le trafic pour la traduction d'adresses réseau (NAT) ou le chiffrement, ou pour filtrer des protocoles non-IP, par exemple AppleTalk ou IPX. Une discussion relative à ces fonctions sort du cadre de ce document. Conditions préalables Conditions requises Aucune condition préalable spécifique n'est requise pour ce document. Les concepts discutés sont présents dans des versions de logiciel 8.3 ou ultérieures de ï¿½ de Cisco IOS. Ceci est noté sous chaque fonctionnalité de liste d'accès. Composants utilisés Ce document traite de divers types de listes de contrôle d'accès. Certaines de ces dernières sont présentes puisque des versions du logiciel Cisco IOS 8.3 et autres ont été introduites dans des versions de logiciel ultérieures. Ceci est noté dans la discussion de chaque type. Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande. Conventions Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco. Concepts relatifs aux listes de contrôle d'accès Cette section décrit les concepts relatifs aux listes de contrôle d'accès. Masques Les masques sont employés avec des adresses IP dans les listes de contrôle d'accès IP pour spécifier ce qui doit être autorisé et refusé. Les masques permettant de configurer des adresses IP sur des interfaces commencent par 255 et ont les valeurs élevées du côté gauche, par exemple une adresse IP 209.165.202.129 avec un masque de 255.255.255.224. Les masques pour les listes de contrôle d'accès IP sont dans l'ordre inverse, par exemple le masque 0.0.0.255. Ce masque est parfois appelé masque inverse ou masque générique. Quand la valeur du masque est décomposée en binaire (0 et 1), les résultats déterminent les bits d'adresse qui doivent être pris en compte dans le traitement du trafic. Un 0 indique que les bits d'adresse doivent être pris en compte (correspondance exacte) ; un 1 dans le masque revient à « ignorer ». Le tableau ci- dessous explique le concept. Exemple de masque adresse réseau (trafic à traiter) 10.1.1.0 masque 0.0.0.255 adresse réseau (binaire) 00001010.00000001.00000001.00000000 masque (binaire) 00000000.00000000.00000000.11111111 Selon le masque binaire, vous pouvez voir que les trois premiers octets doivent correspondre exactement à l'adresse réseau binaire indiquée (00001010.00000001.00000001). Le dernier ensemble de nombres est à « ignorer » (.11111111). Par conséquent, tout le trafic qui commence par 10.1.1 correspond puisque le dernier octet est à « ignorer ». Par conséquent, avec ce masque, les adresses réseau 10.1.1.1 à 10.1.1.255 (10.1.1.x) sont traitées. Soustrayez le masque normal de 255.255.255.255 afin de déterminer le masque inverse de liste de contrôle d'accès. Dans cet exemple, le masque inverse est déterminé pour l'adresse réseau 172.16.1.0 avec un masque normal de 255.255.255.0. 255.255.255.255 - 255.255.255.0 (masque normal) = 0.0.0.255 (masque inverse) Notez ces équivalents de liste de contrôle d'accès. L'équivalent source/source-wildcard de 0.0.0.0/255.255.255.255 signifie « quelconque ». L'équivalent source/générique de 10.1.1.2/0.0.0.0 est identique à « hôte 10.1.1.2 ». Récapitulation des listes de contrôle d'accès Remarque: les masques de sous-réseau peuvent également être représentés comme notation de longueur fixe. Par exemple, 192.168.10.0/24 représente 192.168.10.0 255.255.255.0. Cette liste décrit comment récapituler une plage de réseaux en un seul réseau pour l'optimisation des listes de contrôle d'accès. Examinez les réseaux ci-dessous. 192.168.32.0/24 192.168.33.0/24 192.168.34.0/24 192.168.35.0/24 192.168.36.0/24 192.168.37.0/24 192.168.38.0/24 192.168.39.0/24 Les deux premiers octets et le dernier octet sont les mêmes pour chaque réseau. Le tableau ci-dessous explique comment les récapituler en un seul réseau. Le troisième octet pour les réseaux précédents peut être écrit comme indiqué dans ce tableau, selon la position de bit d'octet et la valeur d'adresse pour chaque bit. Décimal 128 64 32 16 8 4 2 1 32 0 0 1 0 0 0 0 0 33 0 0 1 0 0 0 0 1 34 0 0 1 0 0 0 1 0 35 0 0 1 0 0 0 1 1 36 0 0 1 0 0 1 0 0 37 0 0 1 0 0 1 0 1 38 0 0 1 0 0 1 1 0 39 0 0 1 0 0 1 1 1 M M M M M D D D Puisque les cinq premiers bits correspondent, les huit réseaux précédents peuvent être récapitulés en un réseau (192.168.32.0/21 ou 192.168.32.0 255.255.248.0). Chacune des huit combinaisons possibles des trois bits de poids faible est appropriée pour les plages de réseaux en question. Cette commande définit une liste de contrôle d'accès qui autorise ce réseau. Si vous soustrayez 255.255.248.0 (masque normal) de 255.255.255.255, le résultat est 0.0.7.255. access-list acl_permit permit ip 192.168.32.0 0.0.7.255 Examinez cet ensemble de réseaux pour plus d'explications. 192.168.146.0/24 192.168.147.0/24 192.168.148.0/24 192.168.149.0/24 Les deux premiers octets et le dernier octet sont les mêmes pour chaque réseau. Le tableau ci-dessous explique comment les récapituler. Le troisième octet pour les réseaux précédents peut être écrit comme indiqué dans ce tableau, selon la position de bit d'octet et la valeur d'adresse pour chaque bit. Décimal 128 64 32 16 8 4 2 1 146 1 0 0 1 0 0 1 0 147 1 0 0 1 0 0 1 1 148 1 0 0 1 0 1 0 0 149 1 0 0 1 0 1 0 1 M M M M M ? ? ? À la différence de l'exemple précédent, vous ne pouvez pas récapituler ces réseaux en un seul réseau. S'ils sont récapitulés en un seul réseau, ils deviennent 192.168.144.0/21 parce que cinq bits sont semblables dans le troisième octet. Ce réseau récapitulé, 192.168.144.0/21, couvre une plage de réseaux comprise entre 192.168.144.0 et 192.168.151.0. Parmi ces derniers, les réseaux 192.168.144.0, 192.168.145.0, 192.168.150.0 et 192.168.151.0 ne sont pas dans la liste des quatre réseaux donnée. Afin de couvrir les réseaux spécifiques en question, vous avez besoin d'un minimum de deux réseaux récapitulés. Les quatre réseaux donnés peuvent être récapitulés dans ces deux réseaux : Pour les réseaux 192.168.146.x et 192.168.147.x, tous les bits correspondent à l'exception du dernier, qui est à « ignorer ». Il peut être écrit comme 192.168.146.0/23 (ou 192.168.146.0 255.255.254.0). Pour les réseaux 192.168.148.x et 192.168.149.x, tous les bits correspondent à l'exception du dernier, qui est à « ignorer ». Il peut être écrit comme 192.168.148.0/23 (ou 192.168.148.0 255.255.254.0). Cette sortie définit une liste de contrôle d'accès récapitulée pour les réseaux ci-dessus. !--- This command is used to allow access access for devices with IP !--- addresses in the range from 192.168.146.0 to 192.168.147.254. access-list 10 permit 192.168.146.0 0.0.1.255 !--- This command is used to allow access access for devices with IP !--- addresses in the range from 192.168.148.0 to 192.168.149.254 access-list 10 permit 192.168.148.0 0.0.1.255 Traiter les listes de contrôle d'accès Le trafic qui entre dans le routeur est comparé aux entrées de la liste de contrôle d'accès basées sur l'ordre dans lequel les entrées arrivent dans le routeur. De nouvelles instructions sont ajoutées à la fin de la liste. Le routeur continue de chercher jusqu'à ce qu'il trouve une correspondance. Si aucune correspondance n'est trouvée quand le routeur atteint la fin de la liste, le trafic est refusé. Pour cette raison, vous devez avoir les entrées fréquemment consultées en haut de la liste. Il existe un refus implicite pour le trafic uploads/Ingenierie_Lourd/ acl-bon-cours 2 .pdf