2015/05/26

Explication du listes de contrôle d'accès (ACL) Standards et étendues

Ayant connaissance d'une ACL permettra de simplifier la mise en œuvre d'adresse réseau (NAT).


 
ACL est très difficile et complexe, mais les avantages ne peut pas être sous-estimée, car ils empêchent les menaces de sécurité en filtrant le trafic et les paquets malveillants. Lorsqu'il est correctement mis en œuvre dans le pare-feu efficace dans le filtrage des paquets.

Dans le monde informatique d'aujourd'hui, ACL est largement utilisé pour la prévention de menaces réseaux et de contrôle du trafic.
Tant concepteur du réseau et l'utilisation de l'administrateur ACL pour définir le type de trafic entrant et sortant autorisé. ACL est un script qui autorise ou refuse les paquets légitimes.
Dans Cisco ACL routeur par défaut ne peuvent pas être supprimés; seulement votre propre configuration ACL spécifiée est capable d'être supprimé.
ACL doit être correctement placé soit sur les routeurs sur le bord ou entre deux réseaux locaux segmentés.
Pour placer ACL, il est conseillé de les placer dans un routeur qui maintient une performance optimale sans gaspillage de ressources précieuses telles que le processeur et la RAM.
Il est important de planifier soigneusement avant ACL configuration, écrire et tester leur théorie, et faire une installation factice avant la mise en œuvre réelle.
Règles ACL standard devraient être mis en place sur l'interface de destination sortante pour empêcher le trafic entrant dans le réseau.
Pour empêcher l'adresse source (192.168.4.0) du trafic des clients d'entrer dans le département des comptes, nous allons configurer ACL standard sur l'interface de sortie de R2-LAN3 ......... ..using schéma ci-dessous:
Comment spécifier ACL standards:

  
R2-LAN3 (config)# access-list 11 deny 192.168.4.0 0.0.0.255
  
R2-LAN3 (config)# interface fastethernet 0/0
  
R2-LAN3 (config-if)# ip access-group 11


 
Standard-ACL1
Règles étendues doivent être placés à proximité des sources interface d'entrée pour empêcher le trafic de quitter le LAN (Local Area Network). En utilisant le schéma ci-dessus, nous allons configurer ACL étendues sur l'interface entrante F0 / 0 de R3-LAN2. Cela permettra d'éviter le trafic contenant Telnet et FTP destiné à R2-R3 LAN3 d'entrer ou de quitter LAN2-R2-LAN3 Liens.
Comment spécifier extendedACLs:
 
   R3-LAN2(config)#access-list 111 deny tcp 192.168.4.0 0.0.0.255  192.168.1.0 0.0.0.255 eq 23
    R3-LAN2(config)#access-list 111 deny tcp 192.168.4.0 0.0.0.255  192.168.1.0 0.0.0.255 eq 21
    R3-LAN2(config)#access-list 111 deny tcp 192.168.4.0 0.0.0.255  192.168.1.0 0.0.0.255 eq 20



Règles étendues doivent être place pour les sources interface d'entrée pour empêcher le réseau de quitter la zone locale du réseau
Le trafic est contrôlé en réglant certains paramètres et ceux-ci sont spécifiques à la couche 2, 3, 4 et 7 du modèle OSI.
Dans le passé, les concepteurs de réseau utilisés sur le champ en-tête Ethernet et l'adresse MAC pour définir les paramètres de l'ACL.
ACL implique la spécification de paramètres de classification de trafic de réseau d'ordinateurs avec des adresses IPv4, IPv6. paramètre de trafic spécifié avec eux peut également inclure UDP, les numéros de port TCP et Telnet. les augmentations de sécurité du réseau en désignant les ports et les adresses IP.
Un routeur par défaut ne dispose pas d'un mécanisme de filtrage du trafic. Pour ce faire, ACL doit être configuré sur elle. Lors de la configuration d'un routeur ou couche 3 appareils avec ACL dans un réseau d'entreprise, ils doivent sur le bord ou entre les réseaux locaux segmentés.

Types de Cisco ACL:

    
Standard
    Etendue

Liste standard de contrôle d'accès (ACL de): paquets de filtrage basé sur l'adresse IP source seulement
Les routeurs de bord ou pare-feu de la passerelle de la frontière, configurés avec ACL standard, refuser ou non le flux de trafic basé sur l'adresse source.
NB: Sur une ACL standard uniquement le trafic en fonction des adresses source est filtré; tout autre trafic circule librement, sans contrôle et non vérifiées.
Liste Extended Access Control (ACL): le filtrage de paquets est basé sur:
    
IP source et destination Adresse Source et destination protocole et le numéro de port, par exemple TCP, UDP, et Telnet.
Contrairement ACL standard qui filtre le trafic basé sur l'adresse source, étendu ACL flux de trafic de filtre plus vigoureusement. Ainsi, lorsque les routeurs de périphérie ou de pare-feu à la frontière sont configurés avec ACL étendue qu'ils permettent ou nient l'écoulement du trafic basé sur la source et la destination Adresse IP / ports et protocole.
Numérotation ou dénomination de l'ACL
Lors de la configuration des ACL, un concepteur devrait normalement nom et le numéro individuellement. Il est conseillé de spécifier le nom et ACL dans un réseau réel comme il est à la fois explicite et simple de document.
Numérotation ne montre pas explicitement dans le but de les ACL qui sont configurés ou spécifiés sur une interface de routeur.
NB: Cette information se rapporte à la mise en œuvre de Cisco ACL seulement. D'autres fournisseurs peuvent avoir méthode différente de les écrire.
Les numéros suivants sont utilisés lors de la mise en œuvre ACL standard et étendue:

    
ACL Standard séries de numéros: 1 à 99 et de 1300 à 1999

   
ACL étendue des séries de numéros: 100 à 199 et de 2000 à 2699
Nommage peut contenir des caractères alphanumériques et il est conseillé d'utiliser des majuscules lors de la spécification ACL sur un routeur. Pour les noms de ACL standard et étendu ne doit pas avoir des espaces ou des signes de ponctuation et doit commencer avec des lettres.
 
Exemple d'appliquation d'une ACL Standard /  étendue numérotté :

    Router (config-line) # ip access-group 11
    Router (config-line) # ip access-group 111


Exemple d'appliquation d'une ACL Standard
/ étendue nommé :
   
  Router (config) # ip access-group extended no_traffic
  Router (config) # ip access-group standard no_ip

Liens d'accès de groupe groupe ip ACL standard ou étendu déclarations à une interface.

Router (config) # interface s0/0
Router (config-if) # ip group access-group 11 in
 
Le choix de la Standard ou prolongée doit être fondée sur la mise en œuvre ACL.