Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Listes de contrôle d'accès 2 © 2016 Cisco et/ou ses filiales. Tous droits réser

Listes de contrôle d'accès 2 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 1.1 Configuration et fonctionnement des listes de contrôle d'accès standard • Configuration des listes de contrôle d'accès IPv4 standard. • Expliquer la finalité et le fonctionnement des listes de contrôle d'accès dans les réseaux de PME • Comparer les listes de contrôle d'accès IPv4 standard et étendues • Configurer des listes de contrôle d'accès IPv4 standard pour filtrer le trafic dans un réseau de PME 1.2 Listes de contrôle d'accès IPv4 étendues • Configuration de listes de contrôle d'accès IPv4 étendues. • Expliquer la structure d'une entrée de contrôle d'accès (ACE) étendue • Configurer des listes de contrôle d'accès IPv4 étendues pour filtrer le trafic en fonction des besoins du réseau Sections et objectifs 3 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 1.3 Listes de contrôle d'accès IPv6 • Configuration des listes de contrôle d'accès IPv6. • Comparer la création de listes de contrôle d'accès IPv4 et IPv6 • Configurer des listes de contrôle d'accès IPv6 pour filtrer le trafic en fonction des besoins du réseau 1.4 Dépannage des listes de contrôle d'accès • Dépannage des listes de contrôle d'accès. • Expliquer comment un routeur traite les paquets lorsqu'une liste de contrôle d'accès est appliquée • Dépanner des erreurs de liste de contrôle d'accès courantes à l'aide de commandes CLI Sections et objectifs (suite) 4 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 1.1 Examen de la configuration et du fonctionnement des listes de contrôle d'accès standard 5 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Une liste de contrôle d'accès est un ensemble séquentiel d'instructions d'autorisation ou de refus, appelées entrées de contrôle d'accès (ACE). Examen de la configuration et du fonctionnement des listes de contrôle d'accès standard Présentation du fonctionnement des listes de contrôle d'accès • Les ACE sont couramment appelées des instructions de liste de contrôle d'accès. • Les ACE IPv4 utilisent des masques génériques qui consistent en une chaîne de 32 chiffres binaires utilisés par le routeur pour déterminer quels bits de l'adresse examiner afin d'établir une correspondance. 6 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Vous pouvez configurer les jours fériés suivants : • Une liste de contrôle d'accès par protocole : pour contrôler le flux du trafic sur une interface, définissez une liste de contrôle d'accès pour chaque protocole activé sur l'interface. • Une liste de contrôle d'accès par direction : les listes de contrôle d'accès contrôlent le trafic dans une seule direction à la fois sur une interface. Vous devez créer deux listes de contrôle d’accès ; la première pour contrôler le trafic entrant et la seconde pour contrôler le trafic sortant. • Une liste de contrôle d'accès par interface : les listes de contrôle d'accès contrôlent le trafic dans une seule interface, par exemple, Gigabit Ethernet 0/0. Examen de la configuration et du fonctionnement des listes de contrôle d'accès standard Présentation du fonctionnement des listes de contrôle d'accès 7 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Les listes de contrôle d'accès étendues peuvent filtrer le trafic en examinant les numéros de port TCP. Voici une liste de numéros de ports TCP et UDP couramment utilisés : Examen de la configuration et du fonctionnement des listes de contrôle d'accès standard Présentation du fonctionnement des listes de contrôle d'accès 8 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Pour expliquer le fonctionnement d'une liste de contrôle d'accès, reportez-vous au processus de décision utilisé pour filtrer le trafic web ci-dessous. Examen de la configuration et du fonctionnement des listes de contrôle d'accès standard Présentation du fonctionnement des listes de contrôle d'accès Une liste de contrôle d'accès a été configurée pour : • Autoriser l'accès web aux utilisateurs du réseau A, mais refuser tous les autres services aux utilisateurs du réseau A. • Refuser l'accès HTTP aux utilisateurs du réseau B, mais autoriser tous les autres accès aux utilisateurs du réseau B. 9 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Les listes de contrôle d'accès standard filtrent les paquets en fonction de l'adresse source uniquement. Les listes de contrôle d'accès étendues filtrent les paquets en fonction des éléments suivants : • Le type ou le numéro de protocole (exemple : IP, ICMP, UDP, TCP,…) • Les adresses IP source et de destination • Les ports TCP et UDP source et de destination Examen de la configuration et du fonctionnement des listes de contrôle d'accès standard Types de listes de contrôle d'accès IPv4 10 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Les listes de contrôle d'accès standard et étendues et leur liste d'instructions peuvent être identifiées par un numéro ou par un nom. Examen de la configuration et du fonctionnement des listes de contrôle d'accès standard Types de listes de contrôle d'accès IPv4 11 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Les listes de contrôle d'accès étendues doivent être placées le plus près possible de la source du trafic à filtrer. • Le trafic indésirable est refusé près du réseau source et ne traverse pas l'infrastructure de réseau. Les listes de contrôle d'accès standard doivent être placées le plus près possible de la destination. • Lorsqu'une liste de contrôle d'accès standard est placée à la source du trafic, elle filtre le trafic en fonction de l'adresse source, quelle que soit la destination du trafic. Examen de la configuration et du fonctionnement des listes de contrôle d'accès standard Présentation du fonctionnement des listes de contrôle d'accès 12 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Une liste de contrôle d'accès standard est configurée pour bloquer tout le trafic en provenance de 192.168.10.0/24 et à destination de 192.168.30.0/21. La liste de contrôle d'accès standard doit être appliquée au plus près de la destination, soit dans cet exemple en aval de l'interface G0/0 de R3. • Elle ne doit cependant pas être appliquée en amont de l'interface S0/0/1 de R3, car elle empêcherait le trafic d'atteindre 192.168.31.0/21. Examen de la configuration et du fonctionnement des listes de contrôle d'accès standard Types de listes de contrôle d'accès IPv4 13 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Une liste de contrôle d'accès étendue est configurée pour bloquer tout le trafic FTP et Telnet en provenance de 192.168.11.0/24 et à destination de 192.168.30.0/21. La liste de contrôle d'accès étendue doit être appliquée au plus près de la source, soit dans cet exemple en amont de l'interface G0/1 de R1. • Elle ne doit cependant pas être appliquée en aval de l'interface S0/0/1 de R1, car elle empêcherait le trafic d'atteindre 192.168.31.0/24 et entraînerait le traitement inutile des paquets en provenance de 192.168.10.0/21. Examen de la configuration et du fonctionnement des listes de contrôle d'accès standard Types de listes de contrôle d'accès IPv4 14 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco La syntaxe complète de la commande des listes de contrôle d'accès standard est la suivante : • access-list numéro-liste-accès {deny | permit | remark} source [caractère- générique-source][log] Examen de la configuration et du fonctionnement des listes de contrôle d'accès standard Mise en œuvre des listes de contrôle d'accès IPv4 standard Par exemple : • Autoriser toutes les adresses IP sur le réseau 192.168.10.0/24 • Utilisez la commande no access-list 10 pour supprimer une liste de contrôle d'accès. • Utilisez le mot-clé remark pour documenter une liste de contrôle d'accès afin de la rendre plus explicite. 15 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Une liste de contrôle d'accès IPv4 est associée à une interface à l'aide de la commande en mode de configuration d'interface suivante : • ip access-group {numéro-liste-accès | nom-liste-accès} {in | out} Remarque : • Pour supprimer une liste de contrôle d'accès d'une interface, saisissez d'abord la commande no ip access-group sur l'interface, puis saisissez la commande globale no access-list pour supprimer la liste de contrôle d'accès complète. Examen de la configuration et du fonctionnement des listes de contrôle d'accès standard Mise en œuvre des listes de contrôle d'accès IPv4 standard 16 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Pour créer une liste de contrôle d'accès standard nommée : • Utilisez la commande de configuration globale ip access-list standard nom. • Les noms doivent contenir uniquement des caractères alphanumériques, sont sensibles à la casse et doivent être uniques. • La commande active le mode de configuration de liste de contrôle d'accès standard nommée. • Utilisez les instructions permit, deny ou remark. • Appliquez la liste de contrôle d'accès à une interface à l'aide de la commande ip access-group nom. Examen de la configuration et du fonctionnement des listes de contrôle d'accès standard uploads/Management/ listes-de-controle-dacces.pdf