Exemple N°3bis / Étendue – Par IP réseau
On va revoir le même exercice, mais le résoudre d’une autre façon. Comme je disais, pour l’exemple 3, on aurait pu, et même on aurait mieux fait d’utiliser une ACL étendue…
Je rappelle le principe : on veut empêcher le réseau 192.168.0.0/24 d’accéder au réseau 220.0.0.0/8.
Téléchargez le fichier Packet Tracer, avec les config déjà effectuées !
-Cette fois on va créer une ACL étendue et la dédier à l’interface G0/1 de R3. De cette façon, les paquets ne parcourront pas le réseau jusqu’à R2 avant d’être rejetés, ce qui économise de la bande passante.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
-On entre sur R3, puis on crée l’ACL :
R3(config)#access-list 100 deny ip 192.168.0.0 0.0.0.255 220.0.0.0 0.255.255.255 : Je refuse donc tout trafic IP en provenance de 192.168.0.0/24 vers 220.0.0.0/8
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
R3(config)#access-list 100 permit ip any any : j’autorise le reste à passer.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
-J’associe l’interface G0/1 à l’ACL 100 :
R3(config)#interface g0/1
R3(config-if)#ip access-group 100 in
–>A partir de là c’est bon le réseau 192.168.0.0/24 n’accède plus au réseau 220.0.0.0/8.
*Et pour encore plus de sécurité, il peut être intéressant d’interdire l’accès de 220.0.0.0/8 vers 192.168.0.0/24, au niveau de R2 ! Après tout mettre des ACL de bout en bout ne pose pas de problème.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Je pense avoir bien fait le tour des bases pour commencer à bidouiller sérieusement les ACL et cloisonner votre réseau. Prenez des notes lors de vos manipulations sur vos ACL car sinon vous risquez d’oublier le pourquoi du comment !
merci pour ce tuto très complet et très clair
Merci de votre visite !