1 Objectifs
Aborder la notion d’ACL (Access Control Lists).
2 Prérequis
- Poste de travail avec le logiciel Packet Tracer installé.
3 Tâches à réaliser
- Configurer des ACLs standards, étendues, et nommées.
Configurer des ACLs standards
Les ACLs standards permettent de filtrer le trafic en se basant sur l’adresse IP source du paquet. L’objectif est de gérer la communication entre les différents segments du réseau.
Pour la topologie actuelle :
- Autoriser la communication de 10.1.1.0/24 avec 10.1.2.0/24.
- Interdire la communication de 10.1.1.0/24 avec 10.1.3.0/24.
Configuration de l’ACL 1 :
- Interdire les paquets provenant de 10.1.1.0/24 :
R1(config)#access-list 1 deny 10.1.1.0 0.0.0.255
- Autoriser toutes les autres adresses :
R1(config)#access-list 1 permit any
Application de l’ACL sur l’interface Gi0/2 en sortie :
R1(config)#int gi0/2
R1(config-if)#ip access-group 1 out
Configurer des ACLs étendues
Les ACLs étendues permettent de filtrer le trafic en examinant plusieurs paramètres, tels que l’adresse IP source, l’adresse IP de destination, et les ports.
Pour la topologie actuelle :
- Interdire le ping entre 10.1.3.0/24 et 10.1.2.0/24.
- Autoriser le ping entre 10.1.3.0/24 et 10.1.1.0/24.
Configuration de l’ACL 100 :
R1(config)#access-list 100 deny icmp 10.1.3.0 0.0.0.255 10.1.2.0 0.0.0.255
R1(config)#access-list 100 permit icmp 10.1.3.0 0.0.0.255 10.1.1.0 0.0.0.255
R1(config)#access-list 100 permit ip any any
Application de l’ACL sur l’interface Gi0/2 en entrée :
R1(config)#interface gi0/2
R1(config-if)#ip access-group 100 in
Configurer des ACLs nommées
Les ACLs nommées remplissent des fonctions similaires aux ACLs standards et étendues, mais sont identifiées par un nom et permettent des fonctionnalités d’édition plus avancées.
Pour la topologie actuelle :
- Interdire le protocole HTTP depuis 10.1.2.0/24 vers l’hôte 8.8.8.8.
Création de l’ACL nommée “PC1-HTTP” :
R1(config)#ip access-list extended PC1-HTTP
Configuration de l’ACL :
R1(config-ext-nacl)#deny tcp host 10.1.2.10 host 8.8.8.8 eq www
R1(config-ext-nacl)#permit ip any any
Application de l’ACL sur l’interface Gi0/1 en entrée :
R1(config)#interface gi0/1
R1(config-if)#ip access-group PC1-HTTP in