Dans ce tuto nous allons voir qu’est ce qu’une ACL. Ensuite à l’aide du LAB nous configurerons les ACLs standard puis dans un second article les ACLs étendues.
1. Qu’est ce qu’une Access-List
Les ACLs permettent de filtrer les flux au niveau d’une interface en entrée et en sortie de ma même manière qu’un firewall.
ACL Standard : Si on filtre les IPs sources uniquement dans ce cas là on parlera d’ACLs standard. Elle se configurera au plus près de la destination. Les ACLs standard sont numérotés de 1 à 99 et de 1300 à 1999.
ACL étendue : va filtrer au niveau de l’ip source, l’ip destination, le port source, le port destination. A l’inverse des ACL standard elle se configurera au plus proche de la source. Les ACLs étendue sont numérotés de 100 à 199 et de 2000 à 2699.
Une instruction DENY est mis à chaque fin d’une access list de manière implicite. Autrement dit elle bloquera tout le traffic qui n’est explicitement pas autoriser.
2. LAB(ACLs Standard)
Dans ce lab nous allons mettres en place des ACLs standard.
Topologies :
ADMIN : 192.168.10.0/24
RH : 192.168.20.0/34
Commerciaux : 192.168.30.0/24
Imprimantes : 10.20.200.0/24
Serveurs : 10.10.100.0/24
Contexte : Nous avons 5 réseaux le réseau des ADMIN, le réseau des commerciaux, le réseau des RH , un réseau avec une seule imprimante et enfin le réseau des serveurs avec 2 serveurs le serveur de comptabilité, le serveur des RH . Les administrateurs réseaux ont accès à tous les réseaux. Les RH ont accès au réseau serveurs. Les commerciaux n’ont pas accès au réseau serveurs en revanche ils ont accès à l’imprimante pour imprimer les contrats. Les RH eux n’ont pas accès à l’imprimante.
Le LAB sera sur CISCO Packet Tracer que vous pouvez téléchargez ici :
Pour la correction il faut suivre le tuto 😉 .
Remarque : Avant de commencer le lab pinguer tout les équipements pour vous assurer que vous avez bien de la connectivité partout !
1 ère étape :
Nous allons configurer les ACLs pour que le réseau des ADMINs (192.168.10.0/24) et RH (192.168.20.0/24)accède à tous les serveurs.
On créer l’ACL :
Router(config)#ip access-list standard ACCESS_SERVEURS
Router(config-std-nacl)#permit 192.168.10.0 0.0.0.255
Router(config-std-nacl)#permit 192.168.20.0 0.0.0.255Ensuite on l’applique l’ACL au plus proche de la destination c’est à dire sur l’interface Gig6/0.
Router(config)#interface gigabitEthernet 6/0
Router(config-if)#ip access-group ACCESS_SERVEURS out Si on traduit en français : J’autorise le traffic en provenance du réseau 192.168.10.0/24 et du réseau 192.168.20.0/24 vers le réseau serveurs. Implicitement il interdira tout le traffic autres vers le réseau serveurs.
On peut vérifier la configuration en tapant les commandes suivantes :
Router#show ip access-lists
Standard IP access list ACCESS_SERVEURS
10 permit 192.168.10.0 0.0.0.255
20 permit 192.168.20.0 0.0.0.255Router#show running-config
.
.
.
ip access-list standard ACCESS_SERVEURS
permit 192.168.10.0 0.0.0.255
permit 192.168.20.0 0.0.0.255La configuration est bonne je peux donc enregistrer:
Router#write memory Enfin nous allons vérifier que le réseau ADMIN et RH ont bien accès au serveurs:
Il suffira de faire un ping à partir des PC des 2 réseaux vers l’un des serveurs:
PC ADMIN:
PC RH :
Les réseau ADMINs et RH ont bien accès au serveurs vérifions que le réseau des commerciaux n’a pas accès aux serveurs :
Le réseau des commerciaux n’a effectivement pas accès au réseau serveurs.
2 ème étape :
Nous allons autoriser le traffic du réseau ADMINs et des commerciaux vers l’imprimante.
On créer l’ACL :
Router(config)#ip access-list standard ACCES_IMPRIMANTE
Router(config-std-nacl)#permit 192.168.10.0 0.0.0.255
Router(config-std-nacl)#permit 192.168.30.0 0.0.0.255Ensuite on l’applique l’ACL au plus proche de la destination c’est à dire sur l’interface Gig5/0 :
Router(config)#interface gigabitEthernet 5/0
Router(config-if)#ip access-group ACCES_IMPRIMANTE out On vérifie la conf et on enregistre :
Router#show ip access-lists
Standard IP access list ACCESS_SERVEURS
10 permit 192.168.10.0 0.0.0.255 (8 match(es))
20 permit 192.168.20.0 0.0.0.255 (8 match(es))
Standard IP access list ACCES_IMPRIMANTE
10 permit 192.168.10.0 0.0.0.255
20 permit 192.168.30.0 0.0.0.255En bleu la commande et en vert l’ACL pour le réseau imprimante.
On enregistre :
Router#write memory On vérifie si nos règles fonctionnent en testant sur les différents PC. Ici il faut que le réseau ADMIN et le réseau des commerciaux puissent accéder à l’imprimante mais pas le réseau RH.
C’est la fin de ce tuto . N’hésitez pas à laisser un commentaire et me donner votre avis 😀 .
On se retrouve plus tard pour la seconde partie:) .