Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
Publié parYvette Delattre Modifié depuis plus de 11 années
1
- ACL * Access Control List
2
Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs
3
Théorie Principe fondamental Masque générique
4
Principe fondamental ACL* Liste séquentielle dinstructions Filtrage des paquets Filtrage Autoriser ou interdire En entrée ou en sorties * Access Control List
5
Principe fondamental (suite) Une ACL au maximum par Protocole Interface Direction
6
Parcours des instructions
7
Critères spécifiables dans une ACL Adresses sources Adresses de destination Protocoles utilisés (toute couche) Numéros de ports (couche 4)
8
Types dACLs ACL Numéroté Standard Étendue ACL nommée Standard Étendue Identifiable grâce au numéro ou au nom associé
9
Numéros dACL IPX/SAP1000 à 1099 Étendue pour IPX900 à 999 Standard pour IPX800 à 899 AppleTalk600 à 699 Étendue pour IP 100 à 199 2000 à 2699 Standard pour IP 1 à 99 1300 à 1999 Type dACL associéPlage de numéros
10
Avantage et inconvénients des ACLs Avantage Fournir une base de sécurité réseau Inconvénients Traitement CPU supplémentaire Latence réseau augmentée
11
Configuration des ACLs 2 étapes Création de lACL Application de lACL sur une interface réseau
12
Précautions à prendre Instructions toujours parcourues de la 1 ère à la dernière, jusquà correspondance Si aucune correspondance Dernière instruction implicite utilisée (deny all) ACL appliquée mais non configurée Seule instruction = Instruction implicite Tout trafic interdit
13
Précautions à prendre (suite) Lors de la création Procéder du plus restrictif au plus générique ACL IP qui interdit un paquet Envoie dun message ICMP Host Unreachable ACL pour trafic sortant Naffecte pas le trafic provenant du routeur local
14
Masque générique Utilisation de Préfixes réseaux Masques génériques (Wildcard Mask) Intérêt Identifier des plages dadresses
15
Masque générique (suite) 32 bits Notation décimale pointée Signification binaire "0" = Doit correspondre "1" = Peut varier
16
Masque générique (suite) Par rapport à un masque de sous-réseau Inversion binaire En notation décimale pointée = Complément à 255 du masque de sous-réseau correspondant
17
Masque générique (suite) Conséquence Valeurs précises pour un masque générique 2551276331157310
18
Écritures spécifiques Pour 2 masques génériques précis 0.0.0.0 = 1 seule adresse {IP} {0.0.0.0} = host {IP} 255.255.255.255 = Toutes les adresses {IP} {255.255.255.255} = any
19
1)ACL standard Permet Dinterdire ou dautoriser les adresses réseaux De filtrer les informations dans les MAJ de routage Peut être spécifié Les adresses sources
20
Création dune ACL standard access-list {numéro} {permit | deny} {préfixe} [masque générique] [log] access-list {numéro} {remark} {commentaire} Mode de configuration globale
21
Création dune ACL standard – Exemple
22
Création dune ACL standard (suite) Ordre des instructions = Ordre des commandes Les nouvelles instructions ajoutées Toujours à la fin Impossible de Supprimer/modifier une instruction en particulier
23
Création dune ACL standard (suite) Pour faire une modification Copier/coller dans un éditeur de texte Effectuer les modifications voulues Supprimer lACL du routeur Insérer les nouvelles instructions dans le routeur
24
1)ACL étendue Permet Dinterdire ou dautoriser un type de trafic particulier De filtrer plus précisément quavec une ACL standard Peut être spécifié Adresses sources Adresses de destination Protocole Numéro de port
25
Création dune ACL étendue access-list {numéro} {permit | deny} {protocole} {préfixe source} {masque source} [{opérateur} {opérande}] {préfixe destination} {masque destination} [{opérateur} {opérande}] [icmp-type] [log] [established] access-list {numéro} {remark} {commentaire}
26
Création dune ACL étendue (suite) Protocole Nom (IP, TCP, UDP, etc.) ou numéro (de 0 à 255) de protocole
27
Création dune ACL étendue (suite) opérateur/opérande Pour TCP et UDP uniquement Précise les numéros de ports Pour la source et/ou la destination Entre (nécessite 2 numéros de port) range Supérieur àgt Inférieur àlt Différent deneq Égal àeq SignificationOpérateur
28
Création dune ACL étendue (suite) icmp-type Nom ou numéro de message ICMP à filtrer Established Uniquement avec TCP Correspond aux sessions TCP déjà établies
29
Création dune ACL étendue – Exemple
30
Création dune ACL étendue (suite) Ordre des instructions = Ordre des commandes Les nouvelles instructions ajoutées sont Toujours à la fin Impossible de Supprimer/modifier une instruction en particulier
31
Création dune ACL étendue (suite) Pour faire une modification Copier/coller dans un éditeur de texte Effectuer les modifications voulues Supprimer lACL du routeur Insérer les nouvelles instructions dans le routeur
32
1)ACL nommée Depuis IOS 11.2 Identification de lACL Chaîne alphanumérique au lieu dun numéro Peut être de type Standard Étendue
33
ACL nommée (suite) 2 nouveaux modes de configuration Mode de configuration dACL nommée standard Mode de configuration dACL nommée étendue (config-ext-nacl)#ACL nommée étendue (config-std-nacl)#ACL nommée standard Invite de commande associéeMode de configuration
34
ACL nommée (suite) Intérêt Identifier facilement une ACL grâce à son nom Supprimer une instruction particulière Pas besoin de tout supprimer
35
Création dune ACL nommée ip access-list {standard | extended} {nom} remark {commentaire}
36
Création dune ACL nommée (suite) {permit | deny} {préfixe} [masque] [log] {permit | deny} {protocole} {préfixe source} {masque source} [{opérateur} {opérande}] {préfixe destination} {masque destination}[{opérateur} {opérande}] [icmp- type] [log] [established]
37
Création dune ACL nommée – Exemple
38
1)Mise en place et vérification des ACLs Mise en place dune ACL Étape n°1 = Création Étape n°2 = Application Application possible sur Une interface Une ligne
39
Application dune ACL ip access-group {numéro | nom} {in | out} Mode de configuration dinterface access-class {numéro | nom} {in | out} Mode de configuration de ligne
40
Application dune ACL – Exemple
41
Suppression dune ACL no access-list {numéro | nom} Mode de configuration globale
42
Commande show access-lists show access-lists [numéro | nom]
43
Commande show ip interface show ip interface [{type} {numéro}]
44
Placement des ACLs
45
Questions types CCNA
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.