Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Module 5: Configuration de liste de contrôle d'accès pour IPv4 Contenu Pédagogi

Module 5: Configuration de liste de contrôle d'accès pour IPv4 Contenu Pédagogique d l'instructeur Réseau, Sécurité et Automatisation D'entreprise v7.0 (ENSA) 2 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Objectifs de ce module Module 5: Configuration de liste de contrôle d'accès pour IPv4 Objectif du module: Mettre en œuvre des listes de contrôle IPv4 pour filtrer le trafic et sécuriser l'accès des administrateurs. Titre du rubrique Objectif du rubrique Configurer les listes de contrôle d'accès IPv4 standard Configurer les listes de contrôle d'accès IPv4 standard pour filtrer le trafic afin de répondre aux besoins du réseau. Modifier les listes de contrôle d'accès IPv4 Utiliser les numéros de séquence pour modifier des listes de contrôle d'accès IPv4 standard. Sécuriser les ports VTY à l'aide d'une liste de contrôle d'accès IPv4 standard Configurer une liste de contrôle d'accès standard pour sécuriser l'accès VTY Configurer les listes de contrôle d'accès IPv4 étendues Configurer les listes de contrôle d'accès IPv4 étendues pour filtrer le trafic en fonction des besoins du réseau. 3 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 5.1 Configurer les listes de contrôle d'accès IPv4 standard 4 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Configurer les listes de contrôle d'accès IPv4 standard Créer une ACL Toutes les listes de contrôle d'accès (ACL) doivent être planifiées. Lors de la configuration d'une ACL complexe, il est suggéré de: • Utiliser un éditeur de texte et écrire les spécificités de la stratégie à mettre en œuvre. • Ajouter les commandes de configuration IOS pour accomplir ces tâches. • Inclure des remarques pour documenter l'ACL. • Copier et coller les commandes sur le périphérique. • Tester toujours soigneusement une liste ACL pour vous assurer qu'elle applique correctement la stratégie souhaitée. 5 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Configurer les listes de contrôle d'accès IPv4 standard Syntaxe des listes de contrôle d'accès IPv4 standard numérotées Pour créer une liste ACL standard numérotée, utilisez la commande access-list . Paramètre Description access-list-number La plage de nombres est de 1 à 99 ou de 1300 à 1999 deny Refuse l'accès si les conditions sont respectées. permit Autorise l'accès si les conditions sont respectées. remark text (Facultatif) Ajoute une entrée de texte à des fins de documentation. Source Identifie l'adresse du réseau source ou de l'hôte à filtrer. source-wildcard (facultatif) Un masque générique de 32 bits qui est appliqué à la source log (Facultatif) Génère et envoie un message d'information lorsque l'ACE est apparié Remarque : Utilisez la commande de configuration globale no access-list access-list-number pour supprimer une ACL standard numérotée. 6 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Configuration des listes de contrôle d'accèsIPv4 standard Syntaxe des listes de contrôle d'accès IPv4 standard nommées Pour créer une liste ACL standard numérotée, utilisez la commande ip access-list standard . • Les noms des listes de contrôle d'accès doivent contenir uniquement des caractères alphanumériques, sont sensibles à la casse et doivent être uniques. • Vous n’êtes pas obligés de mettre des majuscules aux noms des listes de contrôle d’accès. En revanche, si vous le faites, vous les verrez bien mieux en affichant la sortie de la commande running-config. 7 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Configurer les listes de contrôle d'accès IPv4 standard Appliquer une listes de contrôle d'accès IPv4 standard numérotées Une fois qu'une ACL IPv4 standard est configurée, elle doit être liée à une interface ou à une fonctionnalité. • La commande ip access-group est utilisée pour lier une ACL IPv4 standard numérotée ou nommée à une interface. • Pour supprimer une ACL d'une interface, entrez d'abord la commande de configuration de l'interface no ip access-group 8 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Configurer les listes de contrôle d'accès IPv4 standard Exemple de liste de contrôle d’accès standard numérotées L'exemple ACL autorise le trafic à partir de l'hôte 192.168.10.10 et de tous les hôtes sur l'interface de sortie réseau 192.168.20.0/24 série 0/1/0 sur le routeur R1. 9 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Configurer les listes de contrôle d'accès IPv4 standard Exemple de liste de contrôle d’accès standard numérotées (Suite) • Utilisez la commande show running-config pour consulter la configuration. • Utilisez la commande show ip interface pour vérifier que l'ACL est appliquée à la bonne interface. 10 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Configurer les listes de contrôle d'accès IPv4 standard Exemple de liste de contrôle d’accès standard nommées L'exemple ACL autorise le trafic à partir de l'hôte 192.168.10.10 et de tous les hôtes sur l'interface de sortie réseau 192.168.20.0/24 série 0/1/0 sur le routeur R1. 11 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Configurer les listes de contrôle d'accès IPv4 standard Exemple de liste de contrôle d’accès standard nommées (Suite) • Utilisez la commande show access-list pour consulter la configuration. • Utilisez la commande show ip interface pour vérifier que l'ACL est appliquée à la bonne interface. 12 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Configurer les listes de contrôle d'accès IPv4 standard Packet Tracer - Configurer les listes ACL IPv4 standard numérotées Dans ce Packet Tracer, vous atteindrez les objectifs suivants: • Planifier la mise en œuvre d'une liste de contrôle d'accès • Configurer, appliquer et vérifier une liste de contrôle d'accès standard 13 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 5.2 Modifier les listes de contrôle d'accès IPv4 14 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Modifier les listes de contrôle d'accès IPv4 Deux méthodes pour modifier une ACL Une fois qu'une liste ACL est configurée, il peut être nécessaire de la modifier. Les ACL avec plusieurs ACE peuvent être complexes à configurer. Parfois, l'ACE configuré ne donne pas les comportements attendus. Il existe deux méthodes à utiliser pour modifier une liste ACL: • Utiliser un éditeur de texte • Utiliser les numéros de séquence 15 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Modifier les listes de contrôle d'accès IPv4 Méthode éditeur de texte Les ACL avec plusieurs ACE doivent être créées dans un éditeur de texte. Cela vous permet de planifier les ACE nécessaires, de créer l'ACL, puis de le coller sur l'interface du routeur. Il simplifie également les tâches de modification et de correction d'une ACL. Pour corriger une erreur dans une liste ACL: • Copiez l'ACL à partir de la configuration en cours d'exécution et collez-la dans l'éditeur de texte. • Effectuez les modifications nécessaires. • Supprimez la liste ACL configurée précédemment sur le routeur. • Copiez et collez la liste ACL modifiée sur le routeur. 16 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Modifier les listes de contrôle d'accès IPv4 Méthode numéros de séquence Un ACE ACL peut être supprimé ou ajouté à l'aide des numéros de séquence ACL. • Utilisez la commande ip access-list standard pour modifier une ACL. • Les instructions ne peuvent pas être remplacées par des instructions associées à un numéro de séquence existant déjà. l'instruction actuelle doit être supprimée d'abord avec la commande no 10 . Ensuite, le bon ACE peut être ajouté en utilisant le numéro de séquence. 17 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Modifier les ACL IPv4 Modifier une ACL nommée Exemple Les ACL nommées peuvent également utiliser des numéros de séquence pour supprimer et ajouter des ACE. Dans l'exemple, un ACE est ajouté pour refuser les hôtes 192.168.10.11. 18 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Modifier les listes de contrôle d'accès IPv4 Statistiques des listes de contrôle d'accès La commande show access-lists de l'exemple affiche des statistiques pour chaque instruction qui a été mise en correspondance. • L'ACE de refus a été apparié 20 fois et le permis ACE a été apparié 64 fois. • Notez que le refus implicite d'une instruction n'affiche aucune statistique. Pour suivre le nombre de paquets refusés implicitement appariés, vous devez configurer manuellement la commande deny any . • Utilisez la commande clear access-list counters pour effacer les statistiques ACL. 19 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Modifier les listes de contrôle d'accès IPv4 Packet Tracer - Configurer et modifier les listes ACL IPv4 standard Dans ce Packet Tracer, vous atteindrez les objectifs suivants: • Configurer les périphériques et vérifier la connectivité • Configurer et vérifier les listes de contrôle d'accès numérotées et nommées standard • Modifier une liste de contrôle d'accès standard 20 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 5.3 Sécuriser les ports VTY à l'aide d'une liste de contrôle d'accès IPv4 standard 21 uploads/Management/ ensa-module-5-configuration-acl-pour-ipv4 2 .pdf