| Next revision | Previous revision |
| informatique:cisco:acl [2010/04/23 14:05] – créée pteu | informatique:cisco:acl [2018/07/10 06:40] (current) – [ip access-list resequence] pteu |
|---|
| |
| Voici une manière habile de modifier une ACL "proprement", c'est-à-dire de la façon la plus efficiente. Soit l'ACL étendue suivante : | Voici une manière habile de modifier une ACL "proprement", c'est-à-dire de la façon la plus efficiente. Soit l'ACL étendue suivante : |
| #show access-lists | <code bash> |
| Extended IP access list 101 | #show access-lists |
| 1 permit ip host 10.0.0.1 host 10.0.1.1 | Extended IP access list 101 |
| 2 permit ip host 10.0.0.1 host 10.1.1.1 | 1 permit ip host 10.0.0.1 host 10.0.1.1 |
| 3 deny tcp host 10.2.1.1 host 10.3.1.1 eq www | 2 permit ip host 10.0.0.1 host 10.1.1.1 |
| | 3 deny tcp host 10.2.1.1 host 10.3.1.1 eq www |
| | </code> |
| |
| On veut ajouter la ligne ''deny tcp ip host 10.0.0.1 host 10.1.1.1 eq www'' en #2. La façon "classique" est de supprimer l'ACL et de la réécrire en insérant la ligne supplémentaire. | On veut ajouter la ligne ''deny tcp ip host 10.0.0.1 host 10.1.1.1 eq www'' en #2. La façon "classique" est de supprimer l'ACL et de la réécrire en insérant la ligne supplémentaire. |
| |
| La façon la plus classe est de faire comme ceci : | La façon la plus rapide est de faire comme ceci : |
| (config)#ip access-list resequence 101 10 10 | <code bash> |
| (config)#ip access-list extended 101 | (config)#ip access-list resequence 101 10 10 |
| (config-ext-nacl)#11 deny tcp ip host 10.0.0.1 host 10.1.1.1 eq www | (config)#ip access-list extended 101 |
| (config)#ip access-list resequence 101 10 10 | (config-ext-nacl)#11 deny tcp ip host 10.0.0.1 host 10.1.1.1 eq www |
| | (config)#ip access-list resequence 101 10 10 |
| | </code> |
| | |
| | Dans l'ordre, on renumérote les lignes de l'ACL en commençant à 10, et de 10 en 10 (10, 20, 30) ; puis on édite l'ACL pour insérer notre ligne entre les lignes 10 et 20 (exclues) ; enfin, pour avoir une numérotation "propre", on renumérote l'ACL pour avoir un incrément de 10 entre chaque numéro de ligne. |
| | |
| | NB : pour remplacer une ligne : |
| | * on insère un ligne avant celle à remplacer (on préfixe la ligne par son numéro de séquence : ''25 permit etc..'') |
| | * on supprime la ligne à remplacer (''no <No_Sequence>'') |
| | * on renumérote les lignes de l'ACL (''resequence'') |
| | |
| | =====ACL de niveau 2===== |
| | |
| | Exemple d'ACL de niveau 2, appliqué sur une interface physique : |
| | <code bash> |
| | Switch(config)# mac access-list ext Filter_mac |
| | Switch(config-ext-macl)# deny host XXXX.XXXX.XXXX any |
| | Switch(config-ext-macl)# permit any any |
| | Switch(config-ext-macl)# exit |
| | Switch(config)# int g1/0/40 |
| | Switch(config-if)# mac access-group Filter_mac in |
| | </code> |
| |
| Dans l'ordre, on renumérote les lignes de l'ACL de 10 en 10 (10, 20, 30) ; puis on édite l'ACL pour insérer notre ligne entre les lignes 10 et 20 (exclues) ; enfin, pour avoir une numérotation "propre", on renumérote l'ACL pour avoir un incrément de 10 entre chaque numéro de ligne. | |
| |
| =====VACL===== | =====VACL===== |
| |
| Les **VLAN Access-list** ou **VLAN access maps** sont des ACLs de niveau 2, qui s'appliquent à l'intérieur d'un VLAN ; elles __peuvent__ donc filtrer du trafic par adresse MAC, mais sont assez peu utilisées. | Les **VLAN Access-list** ou **VLAN access maps** sont des ACLs de niveau 2 ou 3, qui s'appliquent sur un VLAN ; elles __peuvent__ donc filtrer du trafic par adresse MAC, mais sont assez peu utilisées. |
| |
| Pour les mettre en place, il faut spécifier une ou plusieurs //map sequence// qui associent une action à une ACL ; si un permit de l'ACL "matche", l'action est appliquée ; si c'est un "deny", les map sequence suivantes sont vérifiées jusqu'à ce que ça matche. Si un paquet ne match aucune ligne et qu'au moins une ACL de son type est configurée, par défaut le paquet sera droppé. | Pour les mettre en place, il faut spécifier une ou plusieurs //map sequence// qui associent une action à une ACL ; si un permit de l'ACL "matche", l'action est appliquée ; si c'est un "deny", les map sequence suivantes sont vérifiées jusqu'à ce que ça matche. Si un paquet ne match aucune ligne et qu'au moins une ACL de son type est configurée, par défaut le paquet sera droppé. |
| |
| Dans l'exemple précédent on filtre les flux des VLANs 11 et 12 pour ne forwarder que les paquets de la machine d'adresse MAC 0050.5611.05b1. | Dans l'exemple précédent on filtre les flux des VLANs 11 et 12 pour ne forwarder que les paquets de la machine d'adresse MAC 0050.5611.05b1. |
| | |
| | =====time-based===== |
| | |
| | Cisco permet aussi, avec ses IOS récents, d'inclure la notion de temps sur les ACLs. |
| | |
| | Voici un exemple : |
| | <code bash> |
| | ! définiton de la période |
| | time-range semaine_de_travail |
| | periodic weekdays 8:00 to 17:00 |
| | ! |
| | ! utilisation dans l'ACL |
| | ip access-list extended 101 |
| | permit tcp 10.0.0.0 0.0.0.255 172.16.1.0 0.0.0.255 eq ssh time-range semaine_de_travail |
| | </code> |
