| Both sides previous revisionPrevious revisionNext revision | Previous revision |
| informatique:cisco:acl [2011/02/02 12:01] – ACL de niveau 2 pteu | informatique:cisco:acl [2018/07/10 06:40] (current) – [ip access-list resequence] pteu |
|---|
| |
| Voici une manière habile de modifier une ACL "proprement", c'est-à-dire de la façon la plus efficiente. Soit l'ACL étendue suivante : | Voici une manière habile de modifier une ACL "proprement", c'est-à-dire de la façon la plus efficiente. Soit l'ACL étendue suivante : |
| #show access-lists | <code bash> |
| Extended IP access list 101 | #show access-lists |
| 1 permit ip host 10.0.0.1 host 10.0.1.1 | Extended IP access list 101 |
| 2 permit ip host 10.0.0.1 host 10.1.1.1 | 1 permit ip host 10.0.0.1 host 10.0.1.1 |
| 3 deny tcp host 10.2.1.1 host 10.3.1.1 eq www | 2 permit ip host 10.0.0.1 host 10.1.1.1 |
| | 3 deny tcp host 10.2.1.1 host 10.3.1.1 eq www |
| | </code> |
| |
| On veut ajouter la ligne ''deny tcp ip host 10.0.0.1 host 10.1.1.1 eq www'' en #2. La façon "classique" est de supprimer l'ACL et de la réécrire en insérant la ligne supplémentaire. | On veut ajouter la ligne ''deny tcp ip host 10.0.0.1 host 10.1.1.1 eq www'' en #2. La façon "classique" est de supprimer l'ACL et de la réécrire en insérant la ligne supplémentaire. |
| |
| La façon la plus classe est de faire comme ceci : | La façon la plus rapide est de faire comme ceci : |
| (config)#ip access-list resequence 101 10 10 | <code bash> |
| (config)#ip access-list extended 101 | (config)#ip access-list resequence 101 10 10 |
| (config-ext-nacl)#11 deny tcp ip host 10.0.0.1 host 10.1.1.1 eq www | (config)#ip access-list extended 101 |
| (config)#ip access-list resequence 101 10 10 | (config-ext-nacl)#11 deny tcp ip host 10.0.0.1 host 10.1.1.1 eq www |
| | (config)#ip access-list resequence 101 10 10 |
| | </code> |
| | |
| | Dans l'ordre, on renumérote les lignes de l'ACL en commençant à 10, et de 10 en 10 (10, 20, 30) ; puis on édite l'ACL pour insérer notre ligne entre les lignes 10 et 20 (exclues) ; enfin, pour avoir une numérotation "propre", on renumérote l'ACL pour avoir un incrément de 10 entre chaque numéro de ligne. |
| |
| Dans l'ordre, on renumérote les lignes de l'ACL de 10 en 10 (10, 20, 30) ; puis on édite l'ACL pour insérer notre ligne entre les lignes 10 et 20 (exclues) ; enfin, pour avoir une numérotation "propre", on renumérote l'ACL pour avoir un incrément de 10 entre chaque numéro de ligne. | NB : pour remplacer une ligne : |
| | * on insère un ligne avant celle à remplacer (on préfixe la ligne par son numéro de séquence : ''25 permit etc..'') |
| | * on supprime la ligne à remplacer (''no <No_Sequence>'') |
| | * on renumérote les lignes de l'ACL (''resequence'') |
| |
| =====ACL de niveau 2===== | =====ACL de niveau 2===== |
| Dans l'exemple précédent on filtre les flux des VLANs 11 et 12 pour ne forwarder que les paquets de la machine d'adresse MAC 0050.5611.05b1. | Dans l'exemple précédent on filtre les flux des VLANs 11 et 12 pour ne forwarder que les paquets de la machine d'adresse MAC 0050.5611.05b1. |
| |
| | =====time-based===== |
| | |
| | Cisco permet aussi, avec ses IOS récents, d'inclure la notion de temps sur les ACLs. |
| | |
| | Voici un exemple : |
| | <code bash> |
| | ! définiton de la période |
| | time-range semaine_de_travail |
| | periodic weekdays 8:00 to 17:00 |
| | ! |
| | ! utilisation dans l'ACL |
| | ip access-list extended 101 |
| | permit tcp 10.0.0.0 0.0.0.255 172.16.1.0 0.0.0.255 eq ssh time-range semaine_de_travail |
| | </code> |
