24 octobre 2018

Créer une ACL étendue sous Cisco

-ACL étendues :

 

Télécharger le fichier Packet Tracer ici. Dans ce fichier, l’exemple est déjà appliqué et fonctionnel. Vous pouvez afficher les commandes utilisées dans les périphériques.

-Objectif : Empêcher PC0 de pouvoir envoyer des ping dans le réseau 180.0.0.0.

->Pour cela, on va créer une ACL étendue car on veut bloquer un protocole précis, l’ICMP, vu que les requêtes d’echo en font partie. De plus seules les étendues vont nous permettre de déclarer une adresse de destination.

-Étant donné que l’ACL dispose d’une destination, on pourra la placer au plus près de la source, c’est à dire à la plus proche interface de routeur. Sur le schéma, la plus proche de PC0 est G0/0 sur R1. De cette façon on sauvegarde une bande passante qui n’aurait été utilisée que par un paquet qui aurait fini rejeté à la fin de son trajet. Bande passante gaspillée donc.

———————————-

-Je vais donc m’attaquer à R1, créer la liste ACL étendue, et la dédier à l’interface G0/0.

———————————-

-Création de la liste :

 

R1(config)#access-list 100 deny icmp host 110.10.10.1 180.0.0.0 0.255.255.255

->Explication de la commande :

access-list 100 : indique que l’on créer l’ACL numéro 100, ce qui implique qu’il s’agit d’une ACL étendue (rappelez-vous, les numéros d’ACL).

deny icmp : indique que l’on refuse tout le protocole icmp (deny ou permit pour autoriser)

host 110.10.10.1 : indique que cette règle s’applique à l’IP source 110.10.10.1. En fait si on veut spécifier un hôte en particulier, je dois ajouter l’option host. Voyez la suite d’ailleurs :

180.0.0.0 0.255.255.255 : indique que la règle s’applique à destination du réseau 180.0.0.0 / 255.0.0.0 (n’oubliez pas que c’est un masque générique qu’il faut mettre dans la commande.)

*On verra un ou deux autres exemples plus tard pour varier un peu cette commande.

-Ne pas oublier que par défaut, la fin de cette ACL contient implicitement la commande deny any ! Il faut donc faire qq chose sinon notre règle va tout bloquer :

R1(config)#access-list 100 permit ip any any : voila, grâce à cette commande, tout le monde à accès à tout, sauf bien sûr l’hôte spécifié dans la commande précédente.

———————————-

La liste ACL est créée, il ne reste qu’à la dédier à une interface, et préciser s’il s’agit d’une règle d’entrée ou de sortie. Je considère bien sûr que le réseau est déjà configuré ici.

R1(config)#interface g0/0 : je sélectionne l’interface.

R1(config-if)#ip access-group 100 in : cette comme indique que l’on place l’ACL numéro 100 sur cette interface, et le paramètre in indique que tout le trafic entrant par cette interface sera contrôlé.

———————————-

–>Essayez maintenant de pinguer un PC du réseau 180.0.0.0 depuis le PC0 : impossible !

Si vous avez bien fait votre boulot, PC1 peut toujours le faire en revanche.

You may also like...

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.