Listes de contrôle d'accès étendues (ACL) - nuls

Les listes de contrôle d'accès étendues (ACL) vous permettent d'autoriser ou de refuser le trafic d'adresses IP spécifiques à une adresse IP et à un port de destination spécifiques. Il vous permet également de spécifier différents types de trafic tels que ICMP, TCP, UDP, etc. Inutile de dire, il est très granulaire et vous permet d'être très précis.

Si vous avez l'intention de créer un pare-feu de filtrage de paquets pour protéger votre réseau, il s'agit d'une liste de contrôle d'accès étendue que vous devrez créer.

L'exemple qui sera utilisé inclut un routeur connecté au 192. 168. 8. Segment 0/24 sur une interface interne ( FastEthernet 0/0 ) en utilisant adresse 192. 168. 8. 1/24, et au segment 10. 0. 2. 0/24 sur une interface externe ( FastEthernet 0/1 ) en utilisant l'adresse 10. 0. 2. 1 / 24.

Dans ce cas, vous devez gérer le 192. 168. 8. Le réseau 0/24 et un groupe inconnu et non approuvé gère le reste du réseau, comme indiqué. Sur ce réseau, vous souhaitez autoriser les utilisateurs à accéder uniquement aux serveurs Web en dehors du réseau. Afin de soutenir ceci, vous devez créer deux ACL, 101 et 102.

Vous utilisez liste d'accès 101 pour gérer le trafic sortant du bureau et liste d'accès 102 pour gérer le trafic provenant du réseau non fiable au bureau.

Créer ACL 101

Router1> activer Mot de passe: Router1 # configure terminal Entrez les commandes de configuration, une par ligne. Terminez avec CNTL / Z. Router1 (config) # access-list 101 remarque Cette liste de contrôle d'accès permet de contrôler le trafic du routeur sortant. Router1 (config) # access-list 101 autoriser tcp 192. 168. 8. 0 0. 0. 0. 255 any eq 80 Router1 (config) # liste d'accès 101 permit tcp 192. 168. 8. 0 0. 0. 0. 255 any eq 443 Router1 (config) # end

Création d'ACL 102

Router1> enable Mot de passe: Router1 # configure terminal Entrez les commandes de configuration, une par ligne. Terminez avec CNTL / Z. Router1 (config) # access-list 102 remarque Cette liste de contrôle d'accès permet de contrôler le trafic du routeur entrant. Router1 (config) # access-list 102 autorise tcp any 192. 168. 8. 0 0. 0. 0. 255 établi Router1 (config) # end

Si vous examinez ACL 101, la répartition sur le format de la commande est la suivante:

• La liste ACL est le numéro 101

• Elle autorise le trafic

• Elle autorise le trafic TCP

• La source dont elle est autorisée est définie par 192. 168. 8. 0 avec un masque générique de 0. 0. 0. 255

• L'hôte de destination est un hôte

• Le trafic TCP autorisé est sur le port 80

• La deuxième ligne est la même, mais elle autorise le trafic sur le port TCP 443

Si vous faites le même examen de la seconde ACL, ACL 102, vous devriez obtenir ce qui suit:

• La liste de contrôle d'accès est le numéro 102

• Elle autorise le trafic

• Elle autorise le trafic TCP

• source dont il est autorisé est tout hôte

• L'hôte de destination est défini par 192.168. 8. 0 avec un masque générique de 0. 0. 0. 255

• Le trafic TCP autorisé est tout trafic sur une session établie

Le dernier élément sur ACL 102 est quelque chose à regarder un peu plus. Dans l'illustration suivante, un ordinateur client sur le réseau 192. 168. 8. 0/24 a créé une session TCP avec un serveur distant. Cette session TCP avait un processus d'établissement de liaison qui établissait quels ports allaient être utilisés, qui était un port choisi au hasard sur le client et le port 80 sur le serveur.

Le port utilisé dans l'ACE dépend de l'adresse de destination, et dans ce cas, le port de destination est un port choisi au hasard sur le client. Plutôt que de spécifier que chaque port possible est ouvert, ce qui ne serait pas sécurisé, l'option est de dire que toute session établie sur le client est autorisée. Par conséquent, si le client ouvre la connexion, cette liste de contrôle d'accès permettra au trafic de revenir.