Configuration des listes de contrôle d'accès IP les plus utilisées Contenu Intr

Configuration des listes de contrôle d'accès IP les plus utilisées Contenu Introduction Conditions préalables Conditions requises Composants utilisés Conventions Exemples de configuration Autoriser l'accès au réseau pour un hôte sélectionné Refuser l'accès au réseau pour un hôte sélectionné Autoriser l'accès à une plage d'adresses IP contiguës Refuser le trafic Telnet (TCP, port 23) Autoriser les réseaux internes uniquement pour le lancement d'une session TCP Refuser le trafic FTP (TCP, port 21) Autoriser le trafic FTPc (FTP actif) Autoriser le trafic FTP (FTP passif) Autoriser les commandes ping (ICMP) Autoriser le trafic HTTP, Telnet, e-mail, POP3, FTP Autoriser le trafic DNS Autoriser les mises à jour du routage Effectuer le débogage du traffic sur la base de l'ACL Filtrage des adresses MAC Vérifiez Dépannez Informations connexes Introduction Ce document fournit des exemples de configuration pour les listes de contrôle d'accès (ACL) fréquemment utilisées, qui filtrent les paquets IP sur la base des éléments suivants : Adresse source Adresse de destination Type de paquet Toute combinaison de ces éléments Pour filtrer le trafic réseau, les listes de contrôle d'accès vérifient si les paquets sont acheminés ou bloqués au niveau de l'interface du routeur. Votre routeur examine chaque paquet pour déterminer s'il doit expédier ou supprimer le paquet, en fonction des critères que vous spécifiez dans l'ACL. Les critères de la liste ACL incluent : Adresse source du trafic Adresse de destination du trafic Protocole de couche supérieure Effectuez ces étapes pour construire une liste ACL conformément aux exemples figurant dans le présent document : Créez une liste ACL. 1. Appliquez l'ACL à une interface. 2. L'ACL IP est une suite séquentielle de conditions d'autorisations et de refus qui s'appliquent à un paquet IP. Le routeur teste les paquets en fonction des conditions présentes dans l'ACL, les unes après les autres. La première correspondance détermine si le logiciel de Cisco IOS� reçoit ou rejette le paquet. Puisque le Logiciel Cisco IOS arrête le test des conditions après la première correspondance, l'ordre des conditions est essentiel. Si aucune condition ne poss ède de correspondance, le routeur refuse le paquet en raison d'une clause implicite de refus de tous les paquets. Voici des exemples d'ACL IP qui peuvent être configurées dans le logiciel Cisco IOS : ACLs standard ACLs étendu ACL dynamiques (verrou et clé) ACL nommées IP Listes de contrôle d'accès réflexives ACL basées sur l'heure, qui utilisent des plages temporelles Entrées de liste de contrôle d'accès IP commentées ACL basées sur le contexte Proxy d'authentification Listes de contrôle d'accès turbo Listes de contrôle d'accès basées sur l'heure distribuées Ce document traite des normes et des listes de contrôle d'accès fréquemment utilisées (standard et étendues). Reportez-vous à Configurer des listes d'accès IP pour plus d'informations sur les différents types d'ACL pris en charge par le logiciel Cisco IOS et sur les méthodes de configuration et de modification des ACL. La syntaxe des commandes applicables aux listes de contrôle d'accès standard est la suivante : access-list access-list-number {permit|deny} {host|source source-wildcard|quels}. Les ACL standard (clients inscrits uniquement) contrôlent le trafic via la comparaison entre l'adresse source des paquets IP et l'adresse configurée dans l'ACL. Les ACL étendues (clients inscrits uniquement) contrôlent le trafic via la comparaison entre les adresses source et cible des paquets IP et l'adresse configurée dans l'ACL. Vous pouvez également rendre les ACL étendues plus précises et les configurer pour le filtrage du trafic selon des critères tels que : Protocol Numéros de port Valeur de point de code de services différenciés (DSCP - Differentiated services code point) Valeur de priorité État du bit de numéro de séquence (SYN - Synchronize Sequence Number) La syntaxe des commandes applicables aux ACL étendues est la suivante : IP access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny | permit} protocol source source-wildcard destination destination-wildcard [precedence precedence] [tos tos] [log | log-input] [time-range time-range-name][fragments] Protocole ICMP (Internet Control Message Protocol) access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny | permit} icmp source source-wildcard destination destination-wildcard [icmp-type [icmp-code] | [icmp-message]] [precedenceprecedence] [tos tos] [log | log-input] [time-range time-range-name][fragments] Protocole TCP (Transport Control Protocol) access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny | permit} tcp source source-wildcard [operator [port]] destination destination-wildcard [operator [port]] [established] [precedence precedence] [tos tos] [log | log-input] [time-range time-range-name][fragments] Protocole UDP (User Datagram Protocol) access-list access-list-number [dynamic dynamic-name [timeout minutes]] {deny | permit} udp source source-wildcard [operator [port]] destination destination-wildcard [operator [port]] [precedence precedence] [tos tos] [log | log-input] [time-range time-range-name][fragments] Reportez-vous à Commandes de services IP pour obtenir la référence des commandes d'ACL. Conditions préalables Conditions requises Assurez-vous que vous répondez aux exigences suivantes avant d'essayer cette configuration : Compréhension de base de l'adressage IP Reportez-vous à Adressage IP et division en sous-réseaux pour les nouveaux utilisateurs pour plus d'informations. Composants utilisés Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques. Conventions Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco. Exemples de configuration Ces exemples de configuration utilisent les ACL IP les plus fréquents. Remarque: Utilisez l'outil Command Lookup Tool (clients enregistrés seulement) pour trouver plus d'informations sur les commandes utilisées dans ce document. Autoriser l'accès au réseau pour un hôte sélectionné Cette figure illustre un hôte sélectionné disposant d'une autorisation d'accès au réseau. Tout trafic originaire de l'hôte B et destiné à NetA est autorisé, alors que tout autre trafic originaire de NetB et destiné à NetA est refusé. La sortie indiquée dans le tableau R1 montre comment le réseau autorise l'accès à l'hôte. Cette sortie indique les éléments suivants : La configuration autorise uniquement l'accès à l'hôte portant l'adresse IP 192.168.10.1 sur l'interface Ethernet 0 sur R1. Cet hôte a accès aux services IP de NetA. Aucun autre hôte de NetB ne dispose d'un accès à NetA. Aucune déclaration de refus n'est configurée dans l'ACL. Par défaut, une clause implicite de refus se trouve à la fin de chaque ACL. Tout ce qui n'est pas explicitement autorisé est refusé. R1 hostname R1 ! interface ethernet0 ip access-group 1 in ! access-list 1 permit host 192.168.10.1 Remarque: L'ACL filtre les paquets IP de NetB à NetA, à l'exception des paquets originaires de NetB. Les paquets destinés à l'hôte B à partir de NetA sont toutefois autorisés. Remarque: L'ACL access-list 1 permit 192.168.10.1 0.0.0.0 représente une autre méthode de configuration de la même règle. Refuser l'accès au réseau pour un hôte sélectionné Cette figure montre que le trafic originaire de l'hôte B et destiné à NetA est refusé, alors que tout autre trafic originaire de NetB et destiné à accéder à NetA est autorisé. Cette configuration refuse tous les paquets de l'hôte 192.168.10.1/32 via Ethernet 0 sur R1 et autorise tout le reste. Vous devez utiliser la commande access list 1 permit any pour autoriser explicitement tout le reste, parce qu'il existe une clause implicite de refus dans chaque ACL. R1 hostname R1 ! interface ethernet0 ip access-group 1 in ! access-list 1 deny host 192.168.10.1 access-list 1 permit any Remarque: L'ordre des déclarations est essentiel pour le bon fonctionnement d'une ACL. Si l'ordre des entrées est inversé, comme l'illustre cette commande, la première ligne correspond à l'adresse source de chaque paquet. Par conséquent, l'ACL n'empêche pas l'hôte 192.168.10.1/32 d'accéder à NetA. access-list 1 permit any access-list 1 deny host 192.168.10.1 Autoriser l'accès à une plage d'adresses IP contiguës Cette figure montre que tous les hôtes de NetB portant l'adresse réseau 192.168.10.0/24 peuvent accéder au réseau 192.168.200.0/24 dans NetA. Cette configuration autorise l'accès à NetA des paquets IP portant une en-tête IP avec une adresse source comprise dans le réseau 192.168.10.0/24 et une adresse de destination comprise dans le réseau 192.168.200.0/24. Il y a une clause implicite de refus en fin d'ACL qui refuse l'accès à tout autre trafic via Ethernet 0 sur R1. R1 hostname R1 ! interface ethernet0 ip access-group 101 in ! access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.200.0 0.0.0.255 Remarque: Dans la commande access-list 101 permit ip 192.168.10.0 0.0.0.255 192.168.200.0 0.0.0.255, "0.0.0.255" est le masque réseau 192.168.10.0 inversé par rapport au masque 255.255.255.0. Les ACL utilisent le masque inversé pour savoir quel nombre de bits de l'adresse réseau doit correspondre. Dans ce tableau, l'ACL autorise l'accès de tous les hôtes portant des adresses source comprises dans le réseau 192.168.10.0/24 et des adresses de destination comprises dans le réseau 192.168.200.0/24. Reportez-vous à la section Masques de la rubrique Configurer des listes d'accès IP pour plus d'informations sur le masque d'une adresse réseau et sur la méthode de calcul de masque inversé requis par les ACL. Refuser le trafic Telnet (TCP, port 23) Afin de résoudre les problèmes de sécurité graves, vous pouvez être amené à désactiver l'accès Telnet à votre réseau privé à partir du réseau public. Cette figure montre comment le trafic Telnet de NetB (public) destiné à NetA (privé) est refusé, ce qui permet à NetA de lancer et d'établir une session Telnet avec NetB tandis que tout autre trafic IP est autorisé. Telnet utilise TCP, port 23. Cette configuration montre que tout le trafic TCP destiné uploads/Ingenierie_Lourd/ configuration-des-listes-de-controle-d-x27-acces-ip-les-plus-utilisees.pdf

Documents similaires

LE MANAGEMENT PAR PROJETS Serge RAYNAL Approche stratégique du changement Préfa 0 0

PRÉPARATION AU DELF B1 DOCUMENTS POUR L’ÉPREUVE DE COMPRÉHENSION DES ÉCRITS EXE 0 0

NOTES DE COURS DE l’UV MQ41 RÉSISTANCE DES MATÉRIAUX INTRODUCTION AUX CALCULS D 0 0

Raymond VIÉ, Président du GARAC Cette formation symbolise la clairvoyance de no 0 0

Notre couverture: Tête en bronze du Bénin (république du Nigeria ), datant du x 0 0

ENSA Saint-Étienne L E S R A I S O N S D E L A P A R T I C I P A T I O N E N A 0 0

AVERTISSEMENT Ce document est le fruit d'un long travail approuvé par le jury d 0 0

• COLLECTIONS p. 6 Les « insolites » du musée : la tournée du facteur en voitur 0 0

CONDUITE ET EVALUATION DES PROJETS INFORMATIQUE Dr ALI Ouchar Cherif Maître Ass 0 0

APPLICATION DU NOUVEAU CONCEPT D’ÉTALONNAGE DU VIM 3 COLLÈGE FRANÇAIS DE MÉTROL 0 0

• Détails
• Publié le Mai 13, 2022
• Catégorie Heavy Engineering/...
• Langue French
• Taille du fichier 0.0597MB