Documentation plus complète sur les ACL : www.infotrucs.fr/creer-des-acl-sous-cisco-access-control-lists-ios-15-1/
-ACL Standard :
Téléchargez le fichier Packet Tracer déjà configuré si vous voulez, vous pourrez explorer les commandes entrées pour cet exercice.
-Un nouveau réseau 192.168.0.0/24 à été installé, mais il ne doit pas accéder au réseau 220.0.0.0/8. Je pars du principe que les réseaux et routages sont déjà configurés puisque ce n’est pas le sujet ici.
-Comme on ne nous demande pas de spécifier de protocole, je peux utiliser une ACL standard. En réalité, vu que l’on a une destination spécifiée, on aurait mieux fait d’utiliser une étendue mais il faut qu’on voit l’ACL standard donc pourquoi pas, ça marchera quand même.
-L’ACL standard va se baser sur une IP source. Il faut donc la mettre au plus près de la destination. En effet je ne vais pas refuser les IP provenant du réseau 192.168.0.0 au niveau de R3 sinon ils ne pourraient accéder à aucun autre réseau ! Ni au niveau de R1 sinon le réseau 192.168.0.0 n’accèdera plus au réseau 180.0.0.0, ce qui n’est pas le but. Je suis donc bien obligé de poser ma règle au niveau de R2.
-J’entre donc sur R2 :
-J’ai peut-être déjà des ACL sur ce routeur, et je fais attention de ne pas mettre le bazar ! Je vérifie donc les ACL déjà existantes :
R2#show access-lists : Je demande d’afficher les ACL existantes puis j’analyse le résultat :
Extended IP access list PC2-HTTP
10 deny tcp host 180.10.10.1 host 220.10.10.1 eq www (11 match(es))
20 deny tcp host 180.10.10.1 host 220.10.10.1 eq 443 (34 match(es))
30 permit ip any any (22 match(es))
->Ok, Il y a une ACL étendue et nommée. Je veux créer une nouvelle ACL standard, elle aura le numero 1, elle s’ajoutera donc simplement à celle déjà existante. Et puis, rien ne se contredit entre les deux donc ça va.
-Je crée ma nouvelle ACL :
R2(config)#access-list 1 deny 192.168.0.0 0.0.0.255 : L’ACL numéro 1 (donc standard) rejettera tout ce qui vient du réseau 192.168.0.0/24.
*Pour agir sur un hôte et non sur un réseau, il faut ajouter le paramètre host juste avant l’IP, et dans ce cas, le masque n’est pas nécessaire.
-N’oublions pas le fameux deny any implicite en fin de chaque ACL. Oui, même si G0/0 possède une ACL qui contient permit ip any any, il faut quand même le re-spécifier sur chaque ACL :
R2(config)#access-list 1 permit any : vu que les ACL standards ne gèrent pas de protocole ni de destination, cette commande devient plus courte.
-Puis on associe notre ACL à l’interface G0/0 :
R2(config)#interface g0/0
R2(config-if)#ip access-group 1 in : On indique donc au routeur qu’il doit lire les paquets qui entrent (in) par G0/0, et appliquer l’ACL, donc filtrer les paquets.
*On aurait pu aussi mettre la règle sur G0/1 de R2, de cette façon :
R2(config)#interface g0/1
R2(config-if)#ip access-group 1 out : tout les paquet qui sortent par G0/1 seront filtrés.
*Mais il est plus intéressant dans ce cas précis de bloquer ces paquets à l’entrée de R2 pour optimiser son activité processeur.
–>C’est fait, le réseau 192.168.0.0/24 n’a plus accès au réseau 220.0.0.0/8, mais accède toujours aux autres.
MAIS ! Car il y a un mais…On aurait pu utiliser une ACL étendue. Et on va le faire pour voir la syntaxe d’une ACL avec Réseau de source et réseau de destination : www.infotrucs.fr/creer-une-acl-etendue-par-ip-de-reseau-sous-cisco/