La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

de listes d'accès filtres

Publié parSabine Lebeau Modifié depuis plus de 6 années

Présentations similaires

Présentation au sujet: "de listes d'accès filtres"— Transcription de la présentation:

1 de listes d'accès filtres
Configuration de listes d'accès filtres sur un point d'accès ccnp_cch ccnp_cch

2 Sommaire • Introduction - Prérequis - Composants utilisés • Rappel
• Configuration - Filtres utilisant des listes d'accès Standard Filtres utilisant des listes d'accès étendues - Filtres utilisant des ACLs basées MAC - Filtres utilisant des ACLs basées sur la date et l'heure • Vérification • Résolution de problèmes ccnp_cch

3 Introduction Rappel ccnp_cch
Ce document explique comment configurer des filtres basés sur des ACLs (Access Con- trol Lists) sur les points d'accès Cisco Aironet en utilisant l'interface ligne de commande (CLI). Prérequis Cisco recommande que vous ayez des connaissances de base sur ces thèmes:  La configuration d'une connexion sans-fil en utilisant un AP Aironet et un adaptateur client Aironet a/b/g.  Les ACLs. Composants utilisés Les informations présentées dans ce document sont basées sur les versions logicielles et matérielles suivantes:  AP Aironet Séries 1200 qui opère avec l' IOS® Cisco Software Release 12.3(7)JA1  Adaptateur client Aironet a/b/g  Aironet Desktop Utility (ADU) Software Release 2.5 Rappel Vous pouvez utiliser des filtres sur les APs pour réaliser ces tâches:  Restreindre l'accès au réseau LAN sans-fil (Wireless LAN)  Fournir une couche de sécurité supplémentaire Vous pouvez utiliser différents types de filtres pour filtrer le trafic sur la base de:  Protocoles spécifiques  De l'adresse MAC de l'équipement client  De l'adresse IP de l'équipement client Vous pouvez également activer des filtres pour restreindre le trafic issu d'utilisateurs du réseau LAN câblé. Les filtres d'adresses IP et d'adresses MAC permettent ou non l'acheminement de paquets unicast ou multicast qui sont transmis de ou vers une adresse IP ou MAC spécifique. Les filtres basés sur le protocole fournissent une méthode plus granulaire pour res- treindre l'accès à des protocoles spécifiques à travers les interfaces radio et Ethernet de l'AP. Vous pouvez utiliser une de ces méthodes pour configurer les filtres sur l'AP  Interface Web graphique  Interface ligne de commande (CLI) ccnp_cch

4 Ce document explique comment utiliser les ACLs pour configurer es filtres avec la CLI. Vous pouvez utiliser la CLI pour configurer ces types de filtres basés sur les ACLs sur l'AP.  Filtres qui utilisent les listes d'accès Standard  Filtres qui utilisent les listes d'accès Etendues  Filtres qui utilisent les listes d'accès d'adresses MAC Note: Le nombre d'entrées autorisées pour une ACL est limité par la CPU de l'AP. S'il y a un trop grand nombre d'entrées à ajouter à une ACL, par exemple le filtrage d'une liste d'adresses MAC de clients, utilisez un commutateur qui peut réaliser cette tâche dans le réseau. Configuration Dans cette section sont présentées les informations nécessaires à la configuration des fonctionnalités décrites dans ce document. Toutes les configurations présentées dans ce document présument qu'une connexion sans-fil est déjà établie. Ce document se focalise seulement sur comment utiliser la CLI pour configurer des filtres. Si vous n'avez pas de connexion sans-fil de base, référez vous à "Configurer une connexion sans-fil de base". Filtres utilisant des listes d'accès standard Vous pouvez utiliser des ACLs standard pour autoriser ou interdire l'entrée d'équipe- ments clients dans le réseau sans-fil sur la base de l'adresse IP du client. Les ACLs standard comparent l'adresse source des paquets IP avec l'adresse qui a été configurée dans l'ACL pour contrôler le trafic. Ce type d'ACL peut être référencé comme ACL de basée sur l'adresse IP source. Le format de la commande d'une ACL standard est access-list access-list-number {permit|deny} {host ip-address | source_ip_address_wilcard | any}. Dans la release 12.3(7)JA de l'IOS Cisco, le numéro d'ACL peut être un nombre de 1 à 99. Les ACLs standard peuvent utiliser l'intervalle 1300 à Ces numéros d'ACLs supplémentaires étendent les numéros d'ACLs IP. Quand une ACL standard est configurée pour refuser un accès à un client, le client reste associé à l'AP. Cependant il n'y a pas de communication de données entre l'AP et le client. Cet exemple montre une ACL standard configurée pour filtrer l'adresse IP du client à partir de l'interface sans-fil (interface radio 0). L'adresse IP de l'interface de l'AP est Après que cela ait été fait, le client dont l'adresse IP est ne peut pas transmet- tre ou recevoir de données dans le réseau sans-fil même si le client est associé avec l'AP. ccnp_cch

5 Exécutez ces étapes pour créer une ACL standard avec la CLI: 1
Exécutez ces étapes pour créer une ACL standard avec la CLI: Logguez-vous sur l'AP avec la CLI Utilisez le port console ou Telnet pour accéder à l'AP par l'interface Ethernet ou l'interface sans-fil Entrez en mode de configuration global sur l'AP AP#configure terminal 3. Entrez ces commandes pour créer la liste d'accès standard AP(config)#access−list 25 deny host !−−− Crée l'ACL standard 25 pour interdire l'accès !−−− au client dont l'adresse IP est IP AP(config)#access−list 25 permit any !−−− Autorise tous les autres hosts à accéder au réseau. 4. Entrez ces commandes pour appliquer cette ACL à l'interface radio AP(config)#interface Dot11Radio 0 AP(config−if)#ip access−group 25 in !−−− Applique l'ACL standard à l'interface radio 0. Vous pouvez également créer une ACL standard nommée (NACL). La NACL utilise un nom à la place d'un numéro pour définir l'ACL AP#configure terminal AP(config)#ip access−list standard name AP(config)#permit | deny {host ip−address | source−ip [source−wildcard] | any} log Entrez ces commandes utiliser une NACL standard pour refuser l'accès au réseau sans fil pour le host AP#configure terminal AP(config>#ip access−list standard TEST !−−− Crée une NACL standard TEST. AP(config−std−nacl)#deny host !−−− Interdit l'accès au réseau pour le client dont l'adresse IP !−−− est AP(config−std−nacl)#permit any AP(config−std−nacl)#exit !−−− Sortie du mode de configuration global. AP(config)#interface Dot11Radio 0 !−−− Entre en mode de configuration interface dot11 radio0. AP(config−if)#ip access−group TEST in !−−− Applique la NACL standard à l'interface radio. ccnp_cch

6 Filtres utilisant des listes d'accès étendues
Les ACLs étendues comparent les adresses source et destination des paquets IP aux adresses qui sont configurées dans l'ACL pour contrôler le trafic. Les ACLs étendues fournissent également un moyen pour filtrer le trafic sur la base de protocoles spécifi- ques. Cela fournit plus de granularité de contrôle pour l'implémentation de filtres sur un réseau sans-fil. Les ACLs étendues autorisent un client à accéder à certaines ressources du réseau tout en interdisant au client l'accès à d'autres ressources du réseau. Par exemple, vous pouvez implémenter un filtre qui autorise le trafic DHCP et Telnet pour le client tout en interdisant tout autre trafic. Ceci est la syntaxe de la commande des ACLs étendues: access−list access−list−number [dynamic dynamic−name [timeout minutes]] {deny | permit} protocol source source−wildcard destination destination−wildcard [precedence precedence] [tos tos] [log | log−input] [time−range time−range−name] Dans la release 12.3(7)JA de l'IOS Cisco, les ACLs étendues peuvent utiliser des numé- ros dans l'intervalle 100 à 199. Les ACLs étendues peuvent également utiliser l'inter- valle 2600 à Cela étend l'intervalle des ACLs étendues. Note: Le mot-clé log à la fin de chaque entrée individuelle de l'ACL montre:  Nom et numéro d'ACL  Si le paquet a été permis ou rejeté  Une information spécifique au port Les ACLs étendues peuvent également utiliser des noms à la place de numéros. Ceci est la syntaxe pour créer un NACL étendue. ip access−list extended name {deny | permit} protocol source source−wildcard Cette exemple de configuration utilise des ACLs étendues nommées (NACLs). La de- mande est que la liste d'accès étendue (NACL) doit autoriser le trafic Telnet pour les clients. Vous devez interdire tous les autres protocoles sur le réseau sans-fil. Les clients utilisent également DHCP pour obtenir une adresse IP. Vous devez créer une liste d'accès étendue qui:  Autorise le trafic DHCP et Telnet  Rejette tous les autres types de trafic Une fois que cette ACL étendue est appliquée à l'interface radio, les clients s'associent avec l'AP et obtiennent une adresse IP du serveur DHCP. Les clients sont également capables d'utiliser Telnet. Tous les autres types de trafic sont rejetés. ccnp_cch

7 Filtres utilisant des ACLs basées sur les adresses MAC
Exécutez ces étapes pour créer une ACL étendue sur l'AP Logguez-vous sur l'AP à l'aide de la CLI Utilisez le port console ou Telnet pour accéder à l'AP par l'interface Ethernet ou l'interface sans-fil. 2. Entrez en mode de configuration global sur l'AP AP#configure terminal 3. Entrez ces commandes pour créer l'ACL étendue. AP(config)#ip access−list extended Allow_DHCP_Telnet !−−− Crée l'ACL étendue Allow_DHCP_Telnet. AP(config−extd−nacl)#permit tcp any any eq telnet !−−− Autorise le trafic Telnet. AP(config−extd−nacl)#permit udp any any eq bootpc !−−− Autorise le trafic DHCP. AP(config−extd−nacl)#permit udp any any eq bootps AP(config−extd−nacl)#deny ip any any !−−− Rejette tous les autres types de trafic. AP(config−extd−nacl)#exit !−−− Retour en mode de configuration global. 4. Entrez ces commandes pour appliquer l'ACL. AP(config)#interface Dot11Radio 0 AP(config−if)#ip access−group Allow_DHCP_Telnet in !−−− Applique l'ACL étendue Allow_DHCP_Telnet !−−− à l'interface radio 0. Filtres utilisant des ACLs basées sur les adresses MAC Vous pouvez utiliser des filtres basés sur les adresses MAC pour filtrer les équipe- ments clients sur la base des adresses MAC. Quand un client est rejeté par un filtre basé sur l'adresse MAC, le client ne peut pas s'associer avec l'AP. Les filtres d'adresses MAC autorisent ou interdisent l'acheminement des paquets uni- cast ou multicast soit transmis ou reçus d'adresses MAC spécifiques. ccnp_cch

8 Ceci est la syntaxe de la commande pour créer une ACL basée sur l'adresse MAC sur l'AP.
access−list access−list−number {permit | deny} 48−bit−hardware−address 48−bit−hardware−address−mask Dans la release 12.3(7)JA de l'IOS Cisco, les ACLs MAC peuvent utiliser des numéros dans l'intervalle 700 à 799. Elles peuvent également utiliser des numéros dans l'inter- valle 1100 à 1199. Cet exemple illustre comment configurer un filtre basé sur une adresse MAC avec la CLI pour filtrer le client dont l'adresse MAC est a5.b5d4. 1. Logguez-vous sur l'AP à l'aide de la CLI Utilisez le port console ou Telnet pour accéder à l'AP par l'interface Ethernet ou l'interface sans-fil. 2. Entrez en mode de configuration global sur l'AP AP#configure terminal 3. Entrez ces commandes pour créer l'ACL MAC numéro Cette ACL n'autorise pas le client avec l'adresse MAC a5.b5d4 à s'associer avec l'AP access−list 700 deny a5.b5d !−−− Cette ACL rejette tout le trafic de et vers le client !−−− dont l'adresse MAC est a5.b5d4. 4. Entrez cette commande pour appliquer cette ACL basée sur l'adresse MAC à l'inter face radio. dot11 association mac−list 700 !−−− Applique l'ACL basée sur l'adresse MAC. Après avoir configuré ce filtre sur l'AP, le client avec cette adresse MAC qui était asso- cié avec l'AP est désassocié. La console de l'AP affiche ce message: AccessPoint# *Mar 1 01:42:36.743: %DOT11−6−DISASSOC: Interface Dot11Radio0, Deauthenticating Station a5.b5d4 ccnp_cch

9 ccnp_cch Filtres utilisant des ACLs basées sur la date et l'heure
Les ACLs basées sur la date et l'heure sont des ACLs qui peuvent être activées ou non pour une période de temps donnée. Cette capacité fournit de la robustesse et de la flexibilité pour définir des stratégies de contrôle d'accès qui autorisent ou rejettent certains types de trafic. Cet exemple illustre comment configurer une ACL basée sur le temps avec la CLI, dans laquelle la connexion Telnet est permise depuis le réseau interne vers le réseau externe pendant les horaires de travail les jours ouvrables. Note: Une ACL basée sur la date et l'heure peut être définie soit sur le port Ethernet soit sur le port radio de l'AP Aironet selon vos besoins 1. Logguez-vous sur l'AP à l'aide de la CLI Utilisez le port console ou Telnet pour accéder à l'AP par l'interface Ethernet ou l'interface sans-fil. 2. Entrez en mode de configuration global sur l'AP AP#configure terminal 3. Créez un intervalle de temps. Pour cela, entrez cette commande en mode de confi guration global. AP(config)#time−range Test !−−− Crée un intervalle de temps appelé Test. AP(config−time−range)# periodic weekdays 7:00 to 19:00 !−−− Autorise l'accès aux utilisateurs les jours de la semaine de !--- de7H00 à 19H00. 4. Créez l'ACL 101. AP(config)# ip access−list extended 101 AP(config−ext−nacl)#permit tcp eq telnet time−range test !−−− Cette ACL permet le trafic Telnet de et vers le réseau !−−− dans l'intervalle de temps spécifié par Test. 5. Entrez cette commande pour appliquer l'ACL basée sur la date et l'heure à l'interfa ce FastEthernet interface Ethernet0/0 ip address ip access−group 101 in !−−− Applique cette ACL basée sur la date et l'heure. ccnp_cch

10 Vérification Il n'y a pas de procédure de vérification disponible pour cette configuration. Résolution de problèmes Utilisez cette section pour résoudre des problèmes de configuration. Exécutez ces étapes pour retirer une ACL d'une interface. 1. Entrez en mode de configuration interface Entrez no devant la commande ip access group comme le montre cet exemple. interface interface no ip access−group {access−list−name | access−list−number} {in | out} Vous pouvez également utiliser la commande show access-list name | number pour résoudre les problèmes de votre configuration. La commande show ip access-list four- nit le compte de paquets qui montre quelle(s) entrée(s) de l'ACL a été utilisée. Evitez l'usage simultané de la CLI et de l'interface graphique basée sur un navigateur web pour configurer l'équipement sans-fil. Si vous configurez l'équipement sans-fil avec la CLI, l'interface web peut afficher une interprétation incorrecte de la configuration. Toutefois, cette mauvaise interprétation ne signifie pas que l'équipement sans-fil soit mal configuré. Par exemple si vous configurez des ACLs avec la CLI, l'interface web peut afficher ce message: Si vous voyez ce message, utilisez la CLI pour effacer les ACLs et utilisez l'interface web pour les reconfigurer. ccnp_cch

Télécharger ppt "de listes d'accès filtres"

Présentations similaires

Listes de contrôle d’accès IPv6 John Rullan Formateur d’instructeurs certifiés Cisco Thomas A.Edison CTE HS Stephen Lynch Architecte réseau, CCIE n° 36243.

Listes de contrôle d’accès IPv6 John Rullan Formateur d’instructeurs certifiés Cisco Thomas A.Edison CTE HS Stephen Lynch Architecte réseau, CCIE n°
Effacer la Configuration LWAPP sur un LAP

Effacer la Configuration LWAPP sur un LAP
TP Sécurité - Sécuriser l’accès d’administration en utilisant

TP Sécurité - Sécuriser l’accès d’administration en utilisant
Terminaux virtuels (VTY)

Terminaux virtuels (VTY)
– NAT et PAT - 1.

– NAT et PAT - 1.
Liste de contrôle d’accès

Liste de contrôle d’accès
Catalyst 500E - Réinitialisation avec les Paramètres usine

Catalyst 500E - Réinitialisation avec les Paramètres usine
show ip dhcp server statistics

show ip dhcp server statistics
Hot Standby Router Protocol (HSRP) - Partage de charge

Hot Standby Router Protocol (HSRP) - Partage de charge
Remote Desktop Protocol l'Appliance de Sécurité

Remote Desktop Protocol l'Appliance de Sécurité
Sécurité - ASA8.x - Import du Plug-in VNC pour utilisation dans WebVPN

Sécurité - ASA8.x - Import du Plug-in VNC pour utilisation dans WebVPN
QoS - Propagation de la Politique de QoS via BGP

QoS - Propagation de la Politique de QoS via BGP
Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN

Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN
Configurer NAT et PAT statique pour support d'un serveur Web interne

Configurer NAT et PAT statique pour support d'un serveur Web interne
Sécurité - Cisco ASA Outil de capture WebVPN

Sécurité - Cisco ASA Outil de capture WebVPN
Commande ip nat service

Commande ip nat service
Sécurité - Configuration du PIX

Sécurité - Configuration du PIX
Sécurité - ASA7.x/PIX 6.x et plus

Sécurité - ASA7.x/PIX 6.x et plus
Tunnel pour paquets IP Multicast

Tunnel pour paquets IP Multicast
Configuration Routeur SOHO77

Configuration Routeur SOHO77

Présentations similaires

Annonces Google