====== Différences ======
Cette page vous affiche les différences entre la révision choisie et la version actuelle de la page.
|
cisco:acl [2014/03/27 22:25] r.doiteau créée |
cisco:acl [2019/05/11 14:35] (Version actuelle) |
||
|---|---|---|---|
| Ligne 1: | Ligne 1: | ||
| - | ikjoikj | + | {{:cisco:acl.png|}} |
| + | |||
| + | GAD(config)#access-list 101 permit ip 10.10.10.0 0.0.0.255 any | ||
| + | GAD(config)#access-list 101 deny ip any any | ||
| + | La première ligne définit la liste de contrôle d'accès « 101 » qui permet uniquement aux | ||
| + | utilisateurs internes valables sur le réseau 10.10.10.0 d'accéder aux routeurs. La seconde ligne | ||
| + | n'est pas vraiment nécessaire en raison du refus global qu'elle implique ; elle a été ajoutée pour | ||
| + | des raisons de lisibilité. | ||
| + | |||
| + | À présent, il faut appliquer la liste de contrôle d’accès à l'interface du réseau d'entreprise. | ||
| + | Précisez les éléments suivants : | ||
| + | |||
| + | GAD(config)#interface fa1 | ||
| + | GAD(config-if)#ip access-group 101 in | ||
| + | |||
| + | Configurez ensuite une liste de contrôle d'accès étendue pour le trafic externe sur l'interface du | ||
| + | réseau d'entreprise. Le trafic entrant sur le réseau d'entreprise proviendra d'Internet ou de la | ||
| + | zone DMZ. C'est pourquoi vous devez restreindre le type de trafic autorisé à entrer sur le | ||
| + | réseau d'entreprise. | ||
| + | |||
| + | La première chose à faire est de s'assurer que seul le trafic en provenance du réseau | ||
| + | d'entreprise peut être autorisé à y revenir. Précisez les éléments suivants : | ||
| + | |||
| + | GAD(config)#access-list 102 permit tcp any any established | ||
| + | |||
| + | Dans cette ligne, le mot clé established autorise uniquement le trafic TCP en provenance du | ||
| + | réseau 10.10.10.0 | ||
| + | |||
| + | Pour faciliter l'administration et le dépannage du réseau, vous devez également autoriser le | ||
| + | trafic ICMP vers le réseau. Les hôtes internes pourront ainsi recevoir des messages ICMP (par | ||
| + | exemple, des messages ping). | ||
| + | Précisez les éléments suivants : | ||
| + | |||
| + | GAD(config)#access-list 102 permit icmp any any echo-reply | ||
| + | GAD(config)#access-list 102 permit icmp any any unreachable | ||
| + | |||
| + | La première ligne autorise uniquement le renvoi des réponses aux requêtes ping abouties dans | ||
| + | le réseau d'entreprise. La seconde ligne autorise l'affichage de messages relatifs aux requêtes | ||
| + | ping qui ont échoué. | ||
| + | |||
| + | À ce stade, aucun autre type de trafic vers le réseau d'entreprise n'est autorisé. Précisez les | ||
| + | éléments suivants : | ||
| + | |||
| + | GAD(config)#access-list 102 deny ip any any | ||
| + | |||
| + | Enfin, vous devez appliquer la liste de contrôle d'accès au port Fast Ethernet du réseau | ||
| + | d'entreprise. | ||
| + | |||
| + | GAD(config)#interface fa 1 | ||
| + | GAD(config-if)#ip access-group 102 out | ||
| + | |||
| + | N'oubliez pas qu'une interface ne peut prendre en charge qu'une seule liste pour le trafic interne | ||
| + | et qu'une seule liste pour le trafic externe. Pour vérifier cela, entrez la commande show ip | ||
| + | interface fa1. Le résultat devrait confirmer que la liste pour le trafic externe est 102 et celle | ||
| + | pour le trafic interne est est 101. | ||
| + | k. Utilisez la commande show access-lists pour vérifier la syntaxe des listes de contrôle | ||
| + | d'accès. Le résultat généré doit être similaire à celui-ci : | ||
| + | GAD#show access-lists | ||
| + | Extended IP access list 101 | ||
| + | permit ip 10.10.10.0 0.0.0.255 any | ||
| + | deny ip any any | ||
| + | Extended IP access list 102 | ||
| + | permit tcp any any established | ||
| + | permit icmp any any echo-reply | ||
| + | permit icmp any any unreachable | ||
| + | deny ip any any | ||
| + | |||
| + | |||
| + | {{:cisco:11.2.3.b_acl_etendues_simples_dmz_simples_1_.pdf|}} | ||
| + | |||
| + | |||
| + | |||
| + | |||
| + | |||
