Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

© 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco H. TOUNSI 1

© 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco H. TOUNSI 1 Chapitre 9 : listes de contrôle d'accès Routage et commutation H. Tounsi 2 © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco Chapitre 9 9.1 Fonctionnement des listes de contrôle d'accès IP 9.2 Listes de contrôle d'accès IPv4 standard 9.3 Listes de contrôle d'accès IPv4 étendues 9.4 Dépannage des listes de contrôle d'accès 9.5 Listes de contrôle d'accès IPv6 9.6 Résumé H. Tounsi 3 © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco Chapitre 9 : objectifs Expliquer comment les listes de contrôle d'accès sont utilisées pour filtrer le trafic Comparer les listes de contrôle d'accès IPv4 standard et étendues Expliquer comment les listes de contrôle d'accès utilisent des masques génériques Expliquer les directives concernant la création des listes de contrôle d'accès Expliquer les directives concernant le placement des listes de contrôle d'accès Configurer des listes de contrôle d'accès IPv4 standard pour filtrer le trafic en fonction des besoins du réseau Modifier une liste de contrôle d'accès IPv4 standard à l'aide de numéros d'ordre Configurer une liste de contrôle d'accès standard pour sécuriser l'accès vty H. Tounsi 4 © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco Chapitre 9 : objectifs (suite) Expliquer la structure d'une entrée de contrôle d'accès (ACE) étendue Configurer des listes de contrôle d'accès IPv4 étendues pour filtrer le trafic en fonction des besoins du réseau Configurer une liste de contrôle d'accès pour limiter le résultat de débogage Expliquer comment un routeur traite les paquets lorsqu'une liste de contrôle d'accès est appliquée Résoudre des erreurs de liste de contrôle d'accès courantes à l'aide de commandes de l'interface en ligne de commande Comparer la création de listes de contrôle d'accès IPv4 et IPv6 Configurer des listes de contrôle d'accès IPv6 pour filtrer le trafic en fonction des besoins du réseau H. Tounsi 5 © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco Objectif des listes de contrôle d'accès Qu'est-ce qu'une liste de contrôle d'accès ? Une liste de contrôle d'accès est un ensemble séquentiel d'instructions d'autorisation ou de refus qui s'appliquent aux adresses ou aux protocoles de couche supérieure. H. Tounsi 6 © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco Les listes de contrôle d’accès permettent de:  Limiter le trafic réseau pour accroître les performances du réseau  contrôler le flux de trafic.  fournir un niveau de sécurité de base pour l'accès réseau.  filtrer le trafic en fonction de son type.  filtrer les hôtes pour autoriser ou refuser l'accès aux services sur le réseau les listes de contrôle d'accès peuvent être utilisées pour sélectionner les types de trafic à analyser, à acheminer et à traiter selon d'autres méthodes Objectif des listes de contrôle d'accès Qu'est-ce qu'une liste de contrôle d'accès ? H. Tounsi 7 © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco Objectif des listes de contrôle d'accès Filtrage des paquets Le filtrage des paquets contrôle l'accès à un réseau en analysant les paquets entrants et sortants et en les transmettant ou en rejetant selon des critères spécifiques, tels que l'adresse IP source, l’adresse IP de destination et le protocole transporté dans le paquet. Le filtrage des paquets intervient sur les couches 3 et 4 (adresses IP, numéros de ports, type protocole) H. Tounsi 8 © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco Objectif des listes de contrôle d'accès Filtrage des paquets (suite) H. Tounsi 9 © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco Objectif des listes de contrôle d'accès Fonctionnement des listes de contrôle d'accès  La dernière instruction d'une liste de contrôle d'accès est toujours un « deny » implicite. Cette instruction est automatiquement ajoutée à la fin de chaque liste de contrôle d'accès (même si elle n'est pas physiquement présente). L'instruction implicite « deny » bloque l'ensemble du trafic. En raison de ce refus implicite, une liste de contrôle d'accès qui n'a pas au moins une instruction d'autorisation bloquera tout le trafic. H. Tounsi 10 © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco Comparaison des listes de contrôle d'accès IPv4 standard et étendues Types de listes de contrôle d'accès IPv4 Cisco  Listes de contrôle d'accès standard: filtrent les paquets en fonction de l’adresse source seulement  Listes de contrôle d'accès étendues: filtrent les paquets en fonction de plusieurs attributs (adresses IP source et destination, ports source et destination, type ou numéro de protocole) H. Tounsi 11 © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco Comparaison des listes de contrôle d'accès IPv4 standard et étendues Numérotation et nom des listes de contrôle d'accès H. Tounsi 12 © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco Exemples H. Tounsi 13 © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco Masques génériques dans les listes de contrôle d'accès Présentation des masques génériques des listes de contrôle d'accès Les masques génériques et les masques de sous-réseau diffèrent dans leur méthode de mise en correspondance des 1 et des 0 binaires. Les masques génériques respectent les règles suivantes pour faire correspondre les chiffres binaires 1 et 0 : Bit 0 de masque générique : permet de vérifier la valeur du bit correspondant dans l'adresse. Bit 1 de masque générique : permet d'ignorer la valeur du bit correspondant dans l'adresse. Les masques génériques sont souvent appelés masques inverses. En effet, contrairement à un masque de sous-réseau, où le chiffre binaire 1 équivaut à une correspondance et le chiffre binaire 0 à une non-correspondance, les masques génériques procèdent de façon inverse. H. Tounsi 14 © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco Masques génériques dans les listes de contrôle d'accès Calcul du masque générique Le calcul des masques génériques peut être complexe. La méthode la plus rapide consiste à soustraire le masque de sous-réseau de 255.255.255.255. H. Tounsi 15 © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco Masques génériques dans les listes de contrôle d'accès Mots-clés des masques génériques H. Tounsi 16 © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco Masques génériques dans les listes de contrôle d'accès Exemples de mots-clés de masque générique H. Tounsi 17 © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco Directives concernant la création des listes de contrôle d'accès Directives générales concernant la création des listes de contrôle d'accès Utilisez des listes de contrôle d'accès sur les routeurs pare- feu situés entre votre réseau interne et un réseau externe, par exemple Internet. Utilisez des listes de contrôle d'accès sur un routeur situé entre deux parties de votre réseau pour contrôler le trafic entrant ou sortant sur une portion donnée du réseau interne. Configurez des listes de contrôle d'accès sur les routeurs périphériques situés à la périphérie de vos réseaux. Configurez des listes de contrôle d'accès pour tout protocole réseau configuré sur les interfaces de routeur périphérique. H. Tounsi 18 © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco Directives concernant la création des listes de contrôle d'accès Directives générales concernant la création des listes de contrôle d'accès Règle des trois P Une liste de contrôle d'accès par protocole : pour contrôler le flux du trafic sur une interface, définissez une liste de contrôle d'accès pour chaque protocole activé sur l'interface. Une liste de contrôle d'accès par direction : les listes de contrôle d'accès contrôlent le trafic dans une seule direction à la fois sur une interface. Vous devez créer deux listes de contrôle d'accès, la première pour contrôler le trafic entrant et la seconde pour contrôler le trafic sortant. Une liste de contrôle d'accès par interface : les listes de contrôle d'accès contrôlent le trafic dans une seule interface, par exemple, Gigabit Ethernet 0/0. H. Tounsi 19 © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco Directives concernant la création des listes de contrôle d'accès Méthodes recommandées pour les listes de contrôle d'accès H. Tounsi 20 © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco Directives concernant l'emplacement des listes de contrôle d'accès Où placer les listes de contrôle d'accès Chaque liste de contrôle d'accès doit être placée là où elle aura le plus grand impact sur les performances. Règles de base : Listes de contrôle d'accès étendues : placez les listes de contrôle d'accès étendues le plus près possible de la source du trafic à filtrer. Listes de contrôle d'accès standard : étant donné qu'elles ne spécifient pas les adresses de destination, placez-les le plus près possible de la destination.  L'emplacement de la liste de contrôle d'accès et donc son type peuvent aussi dépendre de l'étendue du contrôle de l'administrateur réseau, de la bande passante des réseaux concernés et de la facilité de configuration. H. Tounsi 21 © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco Directives concernant l'emplacement des listes de contrôle d'accès Emplacement d'une liste de contrôle d'accès standard H. Tounsi 22 © 2014 Cisco Systems, Inc. Tous droits réservés. Confidentiel Cisco Directives concernant l'emplacement des listes de contrôle d'accès Emplacement d'une liste de uploads/Management/ ccna2r-amp-s-partie4.pdf