Professional Documents
Culture Documents
Une liste daccs par direction et par protocole. Les listes daccs standard doivent tre appliques le plus prs possible de la destination. Les listes daccs tendues doivent tre appliques le plus prs possible de la source. Pour faire rfrence une interface dentre ou de sortie, placez-vous lintrieur du routeur en regardant l'interface en question. Les instructions sont traites dans lordre depuis le dbut de la liste jusqu la fin jusqu ce quune correspondance soit trouve. Si aucune correspondance nest dtecte, le paquet est refus. Il existe un refus implicite deny any la fin de toutes les listes de contrle daccs. Cela napparat pas dans la liste de configuration. Les entres de la liste daccs doivent filtrer les paquets dans lordre, du plus spcifique au plus gnral. Les htes spcifiques doivent tre rejets en premier, tandis que les groupes ou les filtres gnraux viennent en dernier. La condition de correspondance est examine en premier. Lacceptation ou le refus est examin UNIQUEMENT si la condition est vraie. Ne travaillez jamais avec une liste daccs qui est applique de manire active. Utilisez un diteur de texte pour crer des commentaires indiquant la logique, puis ajoutez les instructions correspondantes. Les nouvelles lignes sont toujours ajoutes la fin de la liste de contrle daccs. La commande no access-list x supprime toute la liste. Il nest pas possible dajouter et de supprimer des lignes spcifiques dans des listes daccs numrotes. Une liste daccs IP envoie un message ICMP dhte inaccessible lmetteur du paquet rejet et limine le paquet dans la corbeille prvue cet effet. Soyez particulirement attentif lorsque vous supprimez une liste daccs. Si la liste daccs est applique une interface de production et que vous la supprimez, selon la version de lIOS, une instruction deny any peut tre applique par dfaut linterface et tout le trafic peut tre arrt. Les filtres de sortie ne concernent pas le trafic gnr par le routeur local.
Page 1
Page 2
ACL sur les routeurs Cisco L'ACL suivante permet aux clients du rseau 192.168.0.0/24 d'aller visiter le serveur Web et DNS :
ip access-list extended monacl permit tcp 192.168.0.0 0.0.0.255 gt 1023 host 192.168.1.1 eq 80 permit udp 192.168.0.0 0.0.0.255 gt 1023 host 192.168.2.1 eq 53
Page 3