| Next revision | Previous revisionLast revisionBoth sides next revision |
| informatique:cisco:acl [2010/04/23 14:05] – créée pteu | informatique:cisco:acl [2013/10/14 20:44] – modification externe 127.0.0.1 |
|---|
| |
| Dans l'ordre, on renumérote les lignes de l'ACL de 10 en 10 (10, 20, 30) ; puis on édite l'ACL pour insérer notre ligne entre les lignes 10 et 20 (exclues) ; enfin, pour avoir une numérotation "propre", on renumérote l'ACL pour avoir un incrément de 10 entre chaque numéro de ligne. | Dans l'ordre, on renumérote les lignes de l'ACL de 10 en 10 (10, 20, 30) ; puis on édite l'ACL pour insérer notre ligne entre les lignes 10 et 20 (exclues) ; enfin, pour avoir une numérotation "propre", on renumérote l'ACL pour avoir un incrément de 10 entre chaque numéro de ligne. |
| | |
| | =====ACL de niveau 2===== |
| | |
| | Exemple d'ACL de niveau 2, appliqué sur une interface physique : |
| | <code bash> |
| | Switch(config)# mac access-list ext Filter_mac |
| | Switch(config-ext-macl)# deny host XXXX.XXXX.XXXX any |
| | Switch(config-ext-macl)# permit any any |
| | Switch(config-ext-macl)# exit |
| | Switch(config)# int g1/0/40 |
| | Switch(config-if)# mac access-group Filter_mac in |
| | </code> |
| | |
| |
| =====VACL===== | =====VACL===== |
| |
| Les **VLAN Access-list** ou **VLAN access maps** sont des ACLs de niveau 2, qui s'appliquent à l'intérieur d'un VLAN ; elles __peuvent__ donc filtrer du trafic par adresse MAC, mais sont assez peu utilisées. | Les **VLAN Access-list** ou **VLAN access maps** sont des ACLs de niveau 2 ou 3, qui s'appliquent sur un VLAN ; elles __peuvent__ donc filtrer du trafic par adresse MAC, mais sont assez peu utilisées. |
| |
| Pour les mettre en place, il faut spécifier une ou plusieurs //map sequence// qui associent une action à une ACL ; si un permit de l'ACL "matche", l'action est appliquée ; si c'est un "deny", les map sequence suivantes sont vérifiées jusqu'à ce que ça matche. Si un paquet ne match aucune ligne et qu'au moins une ACL de son type est configurée, par défaut le paquet sera droppé. | Pour les mettre en place, il faut spécifier une ou plusieurs //map sequence// qui associent une action à une ACL ; si un permit de l'ACL "matche", l'action est appliquée ; si c'est un "deny", les map sequence suivantes sont vérifiées jusqu'à ce que ça matche. Si un paquet ne match aucune ligne et qu'au moins une ACL de son type est configurée, par défaut le paquet sera droppé. |
| |
| Dans l'exemple précédent on filtre les flux des VLANs 11 et 12 pour ne forwarder que les paquets de la machine d'adresse MAC 0050.5611.05b1. | Dans l'exemple précédent on filtre les flux des VLANs 11 et 12 pour ne forwarder que les paquets de la machine d'adresse MAC 0050.5611.05b1. |
| | |
| | =====time-based===== |
| | |
| | Cisco permet aussi, avec ses IOS récents, d'inclure la notion de temps sur les ACLs. |
| | |
| | Voici un exemple : |
| | <code bash> |
| | ! définiton de la période |
| | time-range semaine_de_travail |
| | periodic weekdays 8:00 to 17:00 |
| | ! |
| | ! utilisation dans l'ACL |
| | ip access-list extended 101 |
| | permit tcp 10.0.0.0 0.0.0.255 172.16.1.0 0.0.0.255 eq ssh time-range semaine_de_travail |
| | </code> |
