Both sides previous revisionPrevious revisionNext revision | Previous revision |
informatique:cisco:acl [2011/03/02 20:15] – modification externe 127.0.0.1 | informatique:cisco:acl [2018/07/10 06:40] (current) – [ip access-list resequence] pteu |
---|
| |
Voici une manière habile de modifier une ACL "proprement", c'est-à-dire de la façon la plus efficiente. Soit l'ACL étendue suivante : | Voici une manière habile de modifier une ACL "proprement", c'est-à-dire de la façon la plus efficiente. Soit l'ACL étendue suivante : |
#show access-lists | <code bash> |
Extended IP access list 101 | #show access-lists |
1 permit ip host 10.0.0.1 host 10.0.1.1 | Extended IP access list 101 |
2 permit ip host 10.0.0.1 host 10.1.1.1 | 1 permit ip host 10.0.0.1 host 10.0.1.1 |
3 deny tcp host 10.2.1.1 host 10.3.1.1 eq www | 2 permit ip host 10.0.0.1 host 10.1.1.1 |
| 3 deny tcp host 10.2.1.1 host 10.3.1.1 eq www |
| </code> |
| |
On veut ajouter la ligne ''deny tcp ip host 10.0.0.1 host 10.1.1.1 eq www'' en #2. La façon "classique" est de supprimer l'ACL et de la réécrire en insérant la ligne supplémentaire. | On veut ajouter la ligne ''deny tcp ip host 10.0.0.1 host 10.1.1.1 eq www'' en #2. La façon "classique" est de supprimer l'ACL et de la réécrire en insérant la ligne supplémentaire. |
| |
La façon la plus classe est de faire comme ceci : | La façon la plus rapide est de faire comme ceci : |
(config)#ip access-list resequence 101 10 10 | <code bash> |
(config)#ip access-list extended 101 | (config)#ip access-list resequence 101 10 10 |
(config-ext-nacl)#11 deny tcp ip host 10.0.0.1 host 10.1.1.1 eq www | (config)#ip access-list extended 101 |
(config)#ip access-list resequence 101 10 10 | (config-ext-nacl)#11 deny tcp ip host 10.0.0.1 host 10.1.1.1 eq www |
| (config)#ip access-list resequence 101 10 10 |
| </code> |
| |
| Dans l'ordre, on renumérote les lignes de l'ACL en commençant à 10, et de 10 en 10 (10, 20, 30) ; puis on édite l'ACL pour insérer notre ligne entre les lignes 10 et 20 (exclues) ; enfin, pour avoir une numérotation "propre", on renumérote l'ACL pour avoir un incrément de 10 entre chaque numéro de ligne. |
| |
Dans l'ordre, on renumérote les lignes de l'ACL de 10 en 10 (10, 20, 30) ; puis on édite l'ACL pour insérer notre ligne entre les lignes 10 et 20 (exclues) ; enfin, pour avoir une numérotation "propre", on renumérote l'ACL pour avoir un incrément de 10 entre chaque numéro de ligne. | NB : pour remplacer une ligne : |
| * on insère un ligne avant celle à remplacer (on préfixe la ligne par son numéro de séquence : ''25 permit etc..'') |
| * on supprime la ligne à remplacer (''no <No_Sequence>'') |
| * on renumérote les lignes de l'ACL (''resequence'') |
| |
=====ACL de niveau 2===== | =====ACL de niveau 2===== |
Dans l'exemple précédent on filtre les flux des VLANs 11 et 12 pour ne forwarder que les paquets de la machine d'adresse MAC 0050.5611.05b1. | Dans l'exemple précédent on filtre les flux des VLANs 11 et 12 pour ne forwarder que les paquets de la machine d'adresse MAC 0050.5611.05b1. |
| |
| =====time-based===== |
| |
| Cisco permet aussi, avec ses IOS récents, d'inclure la notion de temps sur les ACLs. |
| |
| Voici un exemple : |
| <code bash> |
| ! définiton de la période |
| time-range semaine_de_travail |
| periodic weekdays 8:00 to 17:00 |
| ! |
| ! utilisation dans l'ACL |
| ip access-list extended 101 |
| permit tcp 10.0.0.0 0.0.0.255 172.16.1.0 0.0.0.255 eq ssh time-range semaine_de_travail |
| </code> |