Implémrenter les ACLs IPv4 et IPv6 (numérotées et nommées)

Implémrenter les ACLs IPv4 et IPv6 (numérotées et nommées)

Aujourd’hui, nous nous concentrons sur la configuration, la vérification et le dépannage des ACL IPv4 et IPv6.

Configuration des listes de contrôle d’accès IPv4 numérotées standard

Les ACL IPv4 standard, qui sont des ACL numérotées de 1 à 99 et de 1300 à 1999, ou sont ACL nommées (named-ACL), filtrent les paquets en fonction de leur adresse source et d’un masque. Ils autorisent ou refusent toute la suite de protocoles TCP/IP. La configuration d’une ACL nécessite deux étapes :

Étape 1. Créez l’ACL.

Étape 2. Appliquer l’ACL.

Utilisons la topologie simple de la Figure A pour démontrer comment configurer les ACLs IPv4 standard et étendues (standard and extended IPv4 ACLs).

Figure A - Topologie de configuration d'ACL IPv4
Figure A – Topologie de configuration d’ACL IPv4

ACL IPv4 Numérotées standard: Autoriser un réseau spécifique

Ici, nous créons une ACL pour empêcher le trafic qui ne fait pas partie des réseaux internes (172.16.0.0/16) de transiter par l’une des interfaces Gigabit Ethernet.

Étape 1. Créez l’ACL.

Utilisez la commande de configuration globale access-list pour créer une entrée dans une ACL IPv4 standard :

R1(config)# access-list 1 permit 172.16.0.0 0.0.255.255

L’instruction échantillon correspond à n’importe quelle adresse commençant par 172.16.x.x. Vous pouvez utiliser l’option remark pour ajouter une description à votre ACL.

Étape 2. Appliquer l’ACL.

Utilisez la commande interface pour sélectionner une interface à laquelle appliquer l’ACL. Utilisez ensuite la commande de configuration d’interface ip access-group pour activer l’ACL existante sur une interface pour une direction spécifique (entrée ou sortie) :

R1(config)# interface gigabitethernet 0/0
R1(config-if)# ip access-group 1 out
R1(config-if)# interface gigabitethernet 0/1
R1(config-if)# ip access-group 1 out

Cette étape active l’ACL IPv4 standard 1 sur les deux interfaces en tant que filtre de sortie.

Cette ACL ne permet que le trafic provenant du réseau source 172.16.0.0 d’être transféré sur G0/0 et G0/1. Le trafic provenant de réseaux autres que 172.16.0.0 est bloqué par le déni implicite (deny all).

ACL IPv4 numérotée standard : Refuser un hôte spécifique

Créez une ACL pour empêcher le trafic provenant de l’hôte 172.16.4.13 de sortir de l’interface G0/0. Créer et appliquer la LCA avec les commandes de l’exemple A.

Exemple A – ACL empêchant le trafic provenant d’un hôte spécifique

R1(config)# access-list 1 deny 172.16.4.13 0.0.0.0
R1(config)# access-list 1 permit 0.0.0.0 255.255.255.255
R1(config)# interface gigabitethernet 0/0
R1(config-if)# ip access-group 1 out

Cette ACL est conçue pour bloquer le trafic de l’adresse spécifique 172.16.4.13, et pour permettre le transfert de tout autre trafic sur l’interface G0/0. La première instruction peut également être écrite avec le mot clé host remplaçant le masque génériques 0.0.0.0 comme suit :

R1(config)# access-list 1 deny host 172.16.4.13

En fait, à partir de la version 12.3 de Cisco IOS, vous pouvez saisir ce qui suit :

R1(config)# access-list 1 deny 172.16.4.13

La deuxième instruction peut être écrite avec le mot-clé any remplaçant l’adresse source 0.0.0.0 et le masque générique 255.255.255.255, de la manière suivante :

R1(config)# access-list 1 permit any

 

ACL IPv4 numérotée standard : Refuser un sous-réseau spécifique

Créez une ACL pour empêcher le trafic provenant du sous-réseau 172.16.4.0/24 de sortir par l’interface G0/0. Créer et appliquer l’ACL avec les commandes de l’exemple B.

Exemple B – ACL Empêchant le trafic provenant d’un sous-réseau spécifique

R1(config)# access-list 1 deny 172.16.4.0 0.0.0.255
R1(config)# access-list 1 permit any
R1(config)# interface g0/0
R1(config-if)# ip access-group 1 out

 

Cette ACL est conçue pour bloquer le trafic provenant un sous-réseau 172.16.4.0, et pour permettre à tout autre trafic d’être réacheminé via l’interface G0/0.

ACL IPv4 numérotée standard : Refuser l’accès Telnet ou SSH au routeur

Pour le trafic entrant et sortant du routeur (pas via le routeur), filtrez l’accès Telnet ou SSH au routeur en appliquant une ACL aux ports vty.

Restreindre l’accès vty est principalement une technique pour augmenter la sécurité du réseau et définir quelles adresses sont autorisées à accéder au processus EXEC du routeur par Telnet. Créez et appliquez l’ACL avec les commandes de l’exemple C.

Exemple C – Liste d’accès n’autorisant qu’un seul hôte à accéder à distance à R1

R1(config)# access-list 12 permit host 172.16.4.13
R1(config)# line vty 0 15
R1(config-line)# access-class 12 in

 

Dans cet exemple, seul l’hôte 172.16.4.13 est autorisé à se connecter à via Telnet à R1. Toutes les autres adresses IP sont refusées implicitement.

Configuration des listes de contrôle d’accès IPv4 numérotées étendues

Pour un contrôle plus précis du filtrage du trafic, utilisez des ACL IPv4 étendues. Les ACLS IPv4 étendus peuvent être nommés, ou numérotés de 100 à 199 et de 2000 à 2699. Les ACL étendues vérifient les adresses IP source et destination.

De plus, à la fin de l’instruction ACL étendue, vous pouvez spécifier le protocole et l’application TCP ou UDP optionnelle pour un filtrage plus précis.

Pour configurer des listes de contrôle d’accès étendues IPv4 numérotées sur un routeur Cisco, créez une liste de contrôle d’accès étendue IP et activez-la sur une interface.

Pour les besoins de l’examen CCNA, la syntaxe de commande ACL IPv4 étendue est la suivante :

Router(config)# access-list access-list-number {permit | deny} protocol source
source-wildcard [operator port] destination destination-wildcard [operator port]
[established] [log]

Le tableau A explique la syntaxe de la commande.

Tableau A – Paramètres de la commande de création d’ACL IPv4 étendue numérotée

ParamètreDescription
access-list-numberIdentifie la liste à l'aide d'un numéro de l'ordre de 100 à 199 ou de 2000 à 2699.
permit | denyIndique si cette entrée autorise ou bloque l'adresse spécifiée.
protocolSi ip est spécifié, toute la suite de protocoles TCP/IP est filtrée. D'autres protocoles que vous pouvez filtrer incluent TCP, UDP, ICMP, EIGRP, et OSPF. Utilisez l'argument ? après le permit | deny pour voir tous les protocoles disponibles.
source and destinationIdentifie les adresses IP source et destination.
source-wildcard and
destination-wildcard
Masque générique. Les 0 indiquent les positions qui doivent concorder, et les 1 indiquent les positions "peu importe".
operator [port |app_name]L'opérateur peut être lt (inférieur à), gt (supérieur à), eq (égal à) ou neq (pas égal à). Le numéro de port référencé peut être le port source ou le port de destination, selon l'endroit où le numéro de port est configuré dans l'ACL. Comme alternative au numéro de port, des noms d'application bien connus peuvent être utilisés, tels que Telnet, FTP et SMTP.
establishedPour le trafic TCP entrant uniquement. Permet au trafic TCP de passer si le paquet est une réponse à une session initiée par un expéditeur. Ce type de trafic a les bits d'acquittement (ACK) activés.
logEnvoie un message de journalisation à la console.

ACL IPv4 numérotée étendue : Refuser le trafic FTP des sous-réseaux

Pour le réseau de la Figure A, nous créons maintenant une ACL pour empêcher le trafic FTP provenant du sous-réseau 172.16.4.0/24 et allant au sous-réseau 172.16.3.0/24 de sortir de l’interface G0/0. Créez et appliquez l’ACL avec les commandes de l’exemple D.

Exemple D – Liste d’accès empêchant le trafic FTP depuis des sous-réseaux spécifiques

R1(config)# access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21
R1(config)# access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20
R1(config)# access-list 101 permit ip any any
R1(config)# interface g0/0
R1(config-if)# ip access-group 101 out

 

Les instructions deny bloquent le trafic FTP provenant du sous-réseau 172.16.4.0 et allant au sous-réseau 172.16.3.0.

Deux instructions doivent être saisies pour l’application FTP car le port 21 est utilisé pour établir, maintenir et terminer une session FTP, tandis que le port 20 est utilisé pour la tâche de transfert de fichiers proprement dite.

ACL IPv4 numérotée étendue : Refuser uniquement le trafic Telnet depuis un sous-réseau

Créez une ACL pour empêcher le trafic Telnet provenant du sous-réseau 172.16.4.0/24 de sortir par l’interface G0/0. Créez et appliquez l’ACL avec les commandes de l’exemple E.

Exemple E – Liste d’accès empêchant le trafic Telnet depuis un sous-réseau spécifique

R1(config)# access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23
R1(config)# access-list 101 permit ip any any
R1(config)# interface g0/0
R1(config-if)# ip access-group 101 out

Cet exemple refuse le trafic Telnet de l’interface 172.16.4.0 qui est envoyée vers l’interface G0/0. Tout autre trafic IP de toute autre source vers toute destination est autorisé à partir de G0/0.

Configuration des ACL IPv4 nommées

Une ACL nommée vous permet d’identifier les ACL standard et étendues avec une chaîne alphanumérique (nom) au lieu des représentations numériques actuelles.

Comme vous pouvez supprimer des entrées individuelles avec des listes de contrôle d’accès nommées, vous pouvez modifier votre liste de contrôle d’accès sans avoir à la supprimer, puis reconfigurer l’ensemble de la liste.

Avec la version 12.3 et les versions ultérieures de Cisco IOS, vous pouvez insérer des entrées individuelles en utilisant un numéro de séquence approprié.

Étapes de configuration et syntaxe d’une ACL IPv4 nommé standard
Les étapes et la syntaxe suivantes sont utilisées pour créer une ACL nommée standard :

Étape 1. Nommez l’ACL.
En partant du mode de configuration globale, utilisez la commande ip access-list standard pour nommer l’ACL standard. Les noms des ACLs sont alphanumériques et doivent être uniques :

Router(config)# ip access-list standard name

 

Étape 2. Créez l’ACL.
A partir du mode de configuration “ACL nommée standard”, utilisez les instructions permit ou deny pour spécifier une ou plusieurs conditions pour déterminer si un paquet est transféré ou supprimé.

Si vous ne spécifiez pas de numéro de séquence, Cisco IOS incrémente le numéro de séquence de 10 pour chaque instruction que vous saisissez :

Router(config-std-nacl)# [sequence-number] {permit | deny} source source-wildcard

 

Étape 3. Appliquer l’ACL.
Activez l’ACL nommée sur une interface avec la commande ip access-group name :

Router(config-if)# ip access-group name [in | out]

 

ACL IPv4 standard nommée : Refuser un hôte unique d’un sous-réseau donné

Pour le réseau illustré précédemment à la Figure A, créez une ACL standard nommée TROUBLEMAKER pour empêcher le trafic provenant de l’hôte 172.16.4.13 de sortir de l’interface G0/0. Créez et appliquez l’ACL avec les commandes de l’exemple F.

Exemple F – ACL nommé Empêchant le trafic d’un hôte spécifique

R1(config)# ip access-list standard TROUBLEMAKER
R1(config-std-nacl)# deny host 172.16.4.13
R1(config-std-nacl)# permit 172.16.4.0 0.0.0.255
R1(config-std-nacl)# interface g0/0
R1(config-if)# ip access-group TROUBLEMAKER out

 

Étapes de configuration et syntaxe d’une ACL IPv4 nommées étendues

Les étapes et la syntaxe suivantes sont utilisées pour créer une ACL nommée étendue :

Étape 1. Nommez l’ACL.
A partir du mode de configuration globale, utilisez la commande ip access-list extended pour nommer l’ACL étendue :

Router(config)# ip access-list extended name

 

Étape 2. Créez l’ACL.
Dans le mode de configuration ACL nommé étendu, utilisez les instructions permit ou deny pour spécifier une ou plusieurs conditions pour déterminer si un paquet est transféré ou supprimé :

Router(config-ext-nacl)# [sequence-number] {deny | permit} protocol source source-wildcard [operator port] destination destination-wildcard [operator port] [established] [log]

 

Étape 3. Appliquer lACL.
Activez l’ACL nommée sur une interface avec la commande ip access-group name :

Router(config-if)# ip access-group name [in | out]

 

Ajout de commentaires aux listes de contrôle d’accès IPv4 nommées ou numérotées

Vous pouvez ajouter des commentaires aux ACL en utilisant l’argument remark à la place de permit ou deny. L’option remark permer de créer des énoncés descriptifs que vous pouvez utiliser pour mieux comprendre et dépanner les ACL nommées ou numérotées.

L’exemple G montre comment ajouter un commentaire à une ACL numérotée.

Exemple G – Ajout de commentaires à une ACL numérotée

R1(config)# access-list 101 remark Permitting John to Telnet to Server
R1(config)# access-list 101 permit tcp host 172.16.4.13 host 172.16.3.10 eq telnet

L’exemple H montre comment ajouter un commentaire à une LCA nommée.

Exemple H – Ajout de commentaires à une ACL nommée

R1(config)# ip access-list standard PREVENTION
R1(config-std-nacl)# remark Do not allow Jones subnet through
R1(config-std-nacl)# deny 172.16.4.0 0.0.0.255

 

Vérification des listes de contrôle d’accès IPv4

Lorsque vous terminez la configuration d’une ACL, utilisez les commandes show pour vérifier la configuration. Utilisez la commande show access-lists pour afficher le contenu de toutes les ACLs comme dans l’exemple I.

En saisissant le nom ou le numéro de l’ACL comme option pour cette commande, vous pouvez afficher le contenu d’une ACL spécifique.

Exemple I – Vérification de la configuration d’une la liste d’accès

R1# show access-lists
Standard IP access list SALES
   10 permit 10.3.3.1
   20 permit 10.4.4.1
   30 permit 10.5.5.1
   40 deny 10.1.1.0, wildcard bits 0.0.0.255
   50 permit any
Extended IP access list ENG
   10 permit tcp host 10.22.22.1 any eq telnet (25 matches)
   20 permit tcp host 10.33.33.1 any eq ftp
   30 permit tcp host 10.33.33.1 any eq ftp-data

 

Notez dans la sortie de la commande show access-lists de l’exemple I que les numéros de séquence sont incrémentés de 10 – très probablement parce que l’administrateur n’a pas entré de numéro de séquence.

Notez également que cette commande vous indique combien de fois Cisco IOS a fait correspondre un paquet à une instruction – 25 fois dans le cas de la première instruction dans l’ACL nommé ENG.

La commande show ip interface affiche les informations IP de l’interface et indique si des ACL IP sont définies sur l’interface.

Dans l’exemple J, la sortie de commande show ip interface g0/0 montre l’ACL 1 a été configurée sur l’interface G0/0 comme ACL entrante. Aucune ACL IP sortante n’a été configurée sur l’interface G0/0.

Example J – Verifying Access List Configuration on a Specific Interface

R1# show ip interface g0/0
GigabitEthernet0/0 is up, line protocol is up
   Internet address is 10.1.1.11/24
   Broadcast address is 255.255.255.255
   Address determined by setup command
   MTU is 1500 bytes
   Helper address is not set
   Directed broadcast forwarding is disabled
   Outgoing access list is not set
   Inbound access list is 1
   Proxy ARP is enabled

<sortie ignorée>

 

Enfin, vous pouvez également vérifier la création de votre ACL et de votre application avec la commande show running-config (voir Exemple K).

Exemple K – Vérification de la création et de l’application de d’ACL dans la configuration en cours d’exécution

R1# show running-config
Building configuration...
!
<output omitted>
!
interface GigabitEthernet0/0
  ip address 10.44.44.1 255.255.255.0
  ip access-group ENG out
!
<output omitted>
!
interface Serial0/0/0
  ip address 172.16.2.1 255.255.255.252
  ip access-group SALES in
!
<output omitted>
ip access-list standard SALES
  permit 10.3.3.1
  permit 10.4.4.1
  permit 10.5.5.1
  deny 10.1.1.0 0.0.0.255
  permit any
!
ip access-list extended ENG
  permit tcp host 10.22.22.1 any eq telnet
  permit tcp host 10.33.33.1 any eq ftp
  permit tcp host 10.33.33.1 any eq ftp-data
!
<sortie ignorée>

 

Comparaison des ACLs IPv4 et IPv6

Les ACLs IPv4 et IPv6 présentent des différences subtiles (voir Tableau B).

Tableau B – Listes de contrôle d’accès IPv4 et IPv6

FonctionnalitéIPv4 seulementIPv6 seulementLes deux
Concordance de l'adresse source et/ou de destinationX
Concordance d'adresses d'hôtes ou de sous-réseaux/préfixesX
Appliqué dans une direction donnée sur une interfaceX
Concordance des ports source et/ou destination TCP ou UDPX
Concordance des codes ICMPX
Inclure le déni implicite à la fin de l'ACLX
Correspond aux paquets IPv4 uniquementX
Correspond aux paquets IPv6 uniquementX
Utiliser des numéros pour identifier l'ACLX
Utiliser des noms pour identifier l'ACLX
Inclure certains règles implicites permit à la fin de l'ACLX

Configuration des listes de contrôle d’accès IPv6

Les étapes de base pour configurer les ACL IPv6 sont les mêmes que pour les ACL IPv4 nommées :

Étape 1. Nommez l’ACL.

Étape 2. Créez l’ACL.

Étape 3. Appliquer la LCA.

Étape 1 : Nommez l’ACL IPv6

Pour nommer une ACL IPv6, entrez la commande ipv6 access-list en mode configuration globale :

Router(config)# ipv6 access-list name

Notez que la syntaxe de commande pour nommer une ACL IPv6 est la même que vous configuriez des ACLs IPv6 standard ou étendues. Cependant, les ACLs IPv6 standard et étendues sont différentes des ACLs IPv4 standard et étendues.

Etape 2 : Créer l’ACL IPv6

Une ACL IPv6 standard inclut à la fois les informations d’adresse source et d’adresse de destination, mais pas les informations TCP, UDP ou ICMPv6. La syntaxe d’une ACL IPv6 standard est la suivante :

Router(config-ipv6-acl)# [permit | deny] ipv6 {source-ipv6-prefix/prefix-length |
any | host source-ipv6-address} {destination-ipv6-prefix/prefix-length | any | host
destination-ipv6-address} [log]

Les ACLs IPv6 étendues tentent de trouver des correspondances à de nombreux autres champs d’en-tête de paquets IPv6, ainsi qu’aux messages TCP, UDP et ICMPv6 et aux en-têtes d’extension IPv6. La syntaxe pour les ACLs IPv6 étendues est:

Router(config-ipv6-acl)# [permit | deny] protocol {source-ipv6-prefix/prefix-length
| any | host source-ipv6-address} [operator [port-number]] {destination-ipv6-
prefix/prefix-length | any | host destination-ipv6-address} [operator [portnumber]]
[dest-option-type [doh-number |doh-type]] [dscp value] [flow-label value]
[fragments] [log] [log-input] [mobility][mobility-type [mh-number | mh-type]]
[reflect name [timeout value]] [routing][routing-type routing-number] [sequence
value] [time-range name]

Si vous choisissez icmp, tcp ou udp comme protocole, des options de filtrage supplémentaires sont disponibles pour correspondre à leurs en-têtes spécifiques. Par exemple, configurer icmp comme protocole vous permet de filtrer le type icmp.

Configurer tcp comme protocole vous permet de filtrer les six drapeaux TCP, ACK, FIN, PSH, RST, SYN et URG. Configurer udp comme protocole vous permet de filtrer les en-têtes d’extension IPv6, comme IPsec.

Étape 3 : Appliquer l’ACL IPv6

La syntaxe pour appliquer une ACL IPv6 à une interface est:

Router(config-if)# ipv6 traffic-filter access-list-name { in | out }

La syntaxe pour appliquer une ACL IPv6 aux lignes VTY est similaire à celle d’IPv4. Remplacez simplement ip par ipv6, comme suit :
Router(config-line)# ipv6 access-class access-list-name

ACL IPv6 standard : Autoriser l’accès distant SSH

La topologie de la figure B est utilisée ici pour les scénarios de configuration de l’ACL IPv6.

Figure B - Topologie de configuration d'ACL IPv6
Figure B – Topologie de configuration d’ACL IPv6

L’exemple B montre comment créer et appliquer une ACL IPv6 pour ne permettre que 2001:DB8:1:4:13 de se connecter à distance aux lignes R1 VTY.

Exemple L – Liste d’accès permettant à un seul hôte d’accéder à R1

R1(config)# ipv6 access-list SSH-HOST
R1(config-ipv6-acl)# permit ipv6 host 2001:db8:1:4::13 any
R1(config-ipv6-acl)# deny ipv6 any any
R1(config-ipv6-acl)# exit
R1(config)# line vty 0 4
R1(config-line)# ipv6 access-class SSH-HOST in

La déclaration permit n’autorise qu’un seul hôte, 2001:DB8:1:4::13. Tout autre trafic IPv6 est refusé. L’ACL IPv6 est ensuite appliquée aux cinq premières lignes VTY avec la commande ipv6 access-class.

ACL IPv6 étendu : Autoriser uniquement le trafic Web

L’exemple M montre comment créer et appliquer une ACL IPv6 pour n’autoriser que le trafic Web provenant du sous-réseau 2001:DB8:1:4::/64 et allant au sous-réseau 2001:DB8:1:3::/64.

Exemple M – Liste d’accès empêchant le trafic Web depuis des sous-réseaux spécifiques

R1(config)# ipv6 access-list WEB-ONLY
R1(config-ipv6-acl)# permit tcp 2001:DB8:1:4::/64 2001:DB8:1:3::/64 eq www
R1(config-ipv6-acl)# deny ipv6 2001:DB8:1:4::/64 2001:DB8:1:3::/64
R1(config-ipv6-acl)# permit ipv6 2001:DB8:1:4::/64 any
R1(config-ipv6-acl)# exit
R1(config)# interface g0/1
R1(config-if)# ipv6 traffic-filter WEB-ONLY in

La première instruction permit permet au trafic du préfixe 2001:DB8:1:4::/64 d’accéder aux services Web sur n’importe quel périphérique du préfixe 2001:DB8:1:3::/64.

L’instruction deny assure que tout le reste du trafic de 2001:DB8:1:4::/64 à 2001:DB8:1:3::/64 est bloqué.

La dernière déclaration permit autorise tout autre trafic entrant à partir de 2001:DB8:1:4:/64 vers n’importe quelle destination.

Vérification des listes de contrôle d’accès IPv6

Comme pour les ACL IPv4, vous pouvez visualiser la configuration et l’application des ACL IPv6 avec la commande show run, comme dans l’exemple N.

Exemple N – Examen des ACLs dans la configuration

R1# show run
Building configuration...
<some output omitted>
!
interface GigabitEthernet0/1
  ipv6 traffic-filter WEB-ONLY in
  ipv6 address FE80::1 link-local
  ipv6 address 2001:DB8:1:4::1/64
!
ipv6 access-list WEB-ONLY
  permit tcp 2001:DB8:1:4::/64 2001:DB8:1:3::/64 eq www
  deny ipv6 2001:DB8:1:4::/64 2001:DB8:1:3::/64
  permit ipv6 2001:DB8:1:4::/64 any
!
ipv6 access-list SSH-HOST
  permit ipv6 host 2001:DB8:1:4::13 any
  deny ipv6 any any
!
line vty 0 4
  ipv6 access-class SSH-HOST in
  login local
  transport input ssh
!
R1#

Cependant, la configuration des routeurs de production est généralement longue et complexe. Pour les questions de simulation de l’examen CCNA, il se peut que vous n’ayez même pas accès à la commande show run.

Par conséquent, vous devriez utiliser des commandes de vérification qui fournissent les informations dont vous avez besoin avec plus de précision et d’efficacité.

Par exemple, show access-lists révèle rapidement toutes les ACLs IPv4 et IPv6 configurées sur l’appareil, comme le montre l’exemple O.

Exemple O – Vérification de toutes les ACLs configurées

R1# show access-lists
Standard IP access list SALES
  10 permit 10.3.3.1
  20 permit 10.4.4.1
  30 permit 10.5.5.1
  40 deny 10.1.1.0, wildcard bits 0.0.0.255
  50 permit any
Extended IP access list ENG
  10 permit tcp host 10.22.22.1 any eq telnet
  20 permit tcp host 10.33.33.1 any eq ftp
  30 permit tcp host 10.33.33.1 any eq ftp-data
IPv6 access list SSH-HOST
  permit ipv6 host 2001:DB8:1:4::13 any sequence 10
  deny ipv6 any any sequence 20
IPv6 access list WEB-ONLY
  permit tcp 2001:DB8:1:4::/64 2001:DB8:1:3::/64 eq www sequence 10
  deny ipv6 2001:DB8:1:4::/64 2001:DB8:1:3::/64 sequence 20
  permit ipv6 2001:DB8:1:4::/64 any sequence 30
R1#

Notez que Cisco IOS a ajouté des numéros de séquence à la fin des listes de contrôle d’accès IPv6 plutôt qu’au début, comme c’est le cas pour les listes de contrôle d’accès IPv4.

Dans l’exemple P, seules les ACL IPv6 sont affichées. Cette sortie a été générée après que plusieurs paquets aient correspondu à chacune des instructions dans les ACLs.

Exemple P – Vérification des statistiques de concordance d’une ACL IPv6

R1# show ipv6 access-list
IPv6 access list SSH-HOST
  permit ipv6 host 2001:DB8:1:4::13 any (1 match(es)) sequence 10
  deny ipv6 any any (5 match(es)) sequence 20
IPv6 access list WEB-ONLY
  permit tcp 2001:DB8:1:4::/64 2001:DB8:1:3::/64 eq www (5 match(es))
    sequence 10
  deny ipv6 2001:DB8:1:4::/64 2001:DB8:1:3::/64 (4 match(es)) sequence 20
  permit ipv6 2001:DB8:1:4::/64 any (75 match(es)) sequence 30
R1#

Pour vérifier le placement d’une ACL IPv6 sur une interface, vous pouvez utiliser la commande show ipv6 interface. Si une ACL est appliquée, la sortie aura une entrée de ligne, comme indiqué dans l’exemple Q.

Exemple Q – Vérification d’une ACL IPv6 appliquée à une interface

R1# show ipv6 interface g0/1
GigabitEthernet0/1 is up, line protocol is up
  IPv6 is enabled, link-local address is FE80::1
  No Virtual link-local address(es):
  Global unicast address(es):
    2001:DB8:1:4::1, subnet is 2001:DB8:1:4::/64
  Joined group address(es):
    FF02::1
    FF02::2
    FF02::1:FF00:1
  MTU is 1500 bytes
  ICMP error messages limited to one every 100 milliseconds
  ICMP redirects are enabled
  ICMP unreachables are sent
  Input features: Access List
  Inbound access list WEB-ONLY
  ND DAD is enabled, number of DAD attempts: 1
  ND reachable time is 30000 milliseconds (using 30000)
  ND advertised reachable time is 0 (unspecified)
  ND advertised retransmit interval is 0 (unspecified)
  ND router advertisements are sent every 200 seconds
  ND router advertisements live for 1800 seconds
  ND advertised default router preference is Medium
  Hosts use stateless autoconfig for addresses.
R1#

 

Dépannage des ACLs

Votre réseau peut être configuré correctement avec tous les hôtes recevant un adressage DHCP, des tables de routage entièrement remplies et une couche physique entièrement opérationnelle, mais une ACL quelque part dans le chemin de données peut aussi causer un problème. Le dépannage d’un problème causé par une ACL peut rendre votre travail plus difficile.

Les ACLs peuvent bloquer les outils de dépannage normaux tels que ping et traceroute tout en permettant un trafic normal. Par conséquent, l’administrateur réseau peut avoir besoin d’autres outils pour trouver la source d’un problème.

Si vous avez déterminé que le problème se situe au niveau de la configuration d’une ACL, les trois étapes suivantes résument un processus de dépannage structuré que vous pouvez utiliser pour localiser le problème.

Étape 1. Les configurations ACL ne peuvent pas poser de problème tant qu’elles ne sont pas appliquées. Par conséquent, déterminez quelles interfaces sont affectées par les ACLs avec les commandes show run ou show ip interfaces.

Étape 2. Vérifiez la configuration ACL avec les commandes show access-lists, show ip access-lists ou show run.

Étape 3. Analyser les listes de contrôle d’accès pour déterminer aux quels paquets correspondent. Les commandes show access-lists et show ip access-lists aident à identifier le nombre de fois qu’un paquet a correspondu à une entrée d’une ACL.

Parmi les erreurs de configuration courantes des ACLs, mentionnons les suivantes :

  • Les déclarations des ACLs sont désordonnées.
  • Les adresses source et destination et/ou les ports sont inversés.
  • L’ACL est appliquée dans la mauvaise direction.
  • Des erreurs de syntaxe ou d’orthographe font que l’ACL n’a pas l’effet désiré ou n’a pas d’effet.
  • Les ACL standard sont proches de la source et non de la destination.

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here


CAPTCHA Image
Reload Image