Ajouter cette page à votre livre
Retirer cette page de votre livre
Voir ou modifier le livre ( 
Aide
{{:cisco:acl.png|}}
GAD(config)#access-list 101 permit ip 10.10.10.0 0.0.0.255 any
GAD(config)#access-list 101 deny ip any any
La première ligne définit la liste de contrôle d'accès « 101 » qui permet uniquement aux
utilisateurs internes valables sur le réseau 10.10.10.0 d'accéder aux routeurs. La seconde ligne
n'est pas vraiment nécessaire en raison du refus global qu'elle implique ; elle a été ajoutée pour
des raisons de lisibilité.
À présent, il faut appliquer la liste de contrôle d’accès à l'interface du réseau d'entreprise.
Précisez les éléments suivants :
GAD(config)#interface fa1
GAD(config-if)#ip access-group 101 in
Configurez ensuite une liste de contrôle d'accès étendue pour le trafic externe sur l'interface du
réseau d'entreprise. Le trafic entrant sur le réseau d'entreprise proviendra d'Internet ou de la
zone DMZ. C'est pourquoi vous devez restreindre le type de trafic autorisé à entrer sur le
réseau d'entreprise.
La première chose à faire est de s'assurer que seul le trafic en provenance du réseau
d'entreprise peut être autorisé à y revenir. Précisez les éléments suivants :
GAD(config)#access-list 102 permit tcp any any established
Dans cette ligne, le mot clé established autorise uniquement le trafic TCP en provenance du
réseau 10.10.10.0
Pour faciliter l'administration et le dépannage du réseau, vous devez également autoriser le
trafic ICMP vers le réseau. Les hôtes internes pourront ainsi recevoir des messages ICMP (par
exemple, des messages ping).
Précisez les éléments suivants :
GAD(config)#access-list 102 permit icmp any any echo-reply
GAD(config)#access-list 102 permit icmp any any unreachable
La première ligne autorise uniquement le renvoi des réponses aux requêtes ping abouties dans
le réseau d'entreprise. La seconde ligne autorise l'affichage de messages relatifs aux requêtes
ping qui ont échoué.
À ce stade, aucun autre type de trafic vers le réseau d'entreprise n'est autorisé. Précisez les
éléments suivants :
GAD(config)#access-list 102 deny ip any any
Enfin, vous devez appliquer la liste de contrôle d'accès au port Fast Ethernet du réseau
d'entreprise.
GAD(config)#interface fa 1
GAD(config-if)#ip access-group 102 out
N'oubliez pas qu'une interface ne peut prendre en charge qu'une seule liste pour le trafic interne
et qu'une seule liste pour le trafic externe. Pour vérifier cela, entrez la commande show ip
interface fa1. Le résultat devrait confirmer que la liste pour le trafic externe est 102 et celle
pour le trafic interne est est 101.
k. Utilisez la commande show access-lists pour vérifier la syntaxe des listes de contrôle
d'accès. Le résultat généré doit être similaire à celui-ci :
GAD#show access-lists
Extended IP access list 101
permit ip 10.10.10.0 0.0.0.255 any
deny ip any any
Extended IP access list 102
permit tcp any any established
permit icmp any any echo-reply
permit icmp any any unreachable
deny ip any any
{{:cisco:11.2.3.b_acl_etendues_simples_dmz_simples_1_.pdf|}}
A PCRE internal error occured. This might be caused by a faulty plugin
