Constitution d`un routeur Cisco

Constitution d’un routeur Cisco
POST
bootstrap
ROM
Port console
Câble paire inversée +
adaptateur RJ45 / DB9
IOS
FLASH
CPU
Registre config
Commandes Boot
system
Fichier config
(Startup config)
Running config
Table routage
Interfaces WAN
(sérial)
NVRAM
Interfaces LAN
(Ethernet)
RAM
ETAPES de DEMARRAGE
1°) test automatique de mise sous tension (POST).
Exécute les diagnostics chargés en mémoire ROM sur tous les modules physiques. Ces
diagnostics vérifient le fonctionnement de base du processeur, de la mémoire et des
ports d'interface réseau.
2°) Lancement du bootstrap en ROM.
Un bootstrap est un jeu d’instructions simple qui teste le matériel et initialise l’IOS.
3°) Lecture du registre de configuration
Registre=0xnnn0 : mode moniteur ROM (appelé dans l’exam mode surveillance
ROM) , démarrage manuel du système d’exploitation en entrant la commande b à l’invite
du mode
Registre=0xnnn1 : amorce la 1ère image IOS dans la Flash
Registre=0xnnn2 : amorce les commandes boot system de la NVRAM
(option par defaut)
Si la mémoire NVRAM ne contient pas de commandes boot system que le routeur peut
utiliser, le système par défaut utilise l’IOS en mémoire flash.
Si la mémoire flash est vide, le routeur tente d’utiliser TFTP pour charger une image
IOS à partir du réseau. Le routeur utilise la valeur du registre de configuration pour créer
le nom du fichier à partir duquel il amorcera une image système par défaut stockée sur
un serveur du réseau.
Si un serveur TFTP n'est pas disponible, le routeur chargera une version limitée de
l'IOS de la ROM
Configuration des commandes Boot system en NVRAM
Router# configure terminal ; mode de configuration globale
Router(config)# boot system flash c1700-l-f.131-2 ; Le routeur tentera de charger l’IOS
c1700-l-f.131-2 à partir de la mémoire flash
Router(config)# boot system tftp c1700-l-mz.131-2 172.16.24.7 ; Le routeur tentera de charger
l’IOS c1700-l-mz.131-2 à partir du serveur TFTP d’adresse IP 172.16.24.7
Router(config)# boot system rom ; Le routeur tentera de charger l’IOS ; Le routeur tentera
de charger l’IOS à partir de la mémoire ROM
Router(config)#exit
Router#copy running-config startup-config ; enregistre les commandes dans la mémoire
NVRAM.
4°) Chargement de l’IOS
Lorsque l’IOS est chargé et opérationnel, Le modèle de routeur, la quantité de mémoire
disponible et Le nombre et le type d'interfaces installées s’affiche sur l’écran de la console.
Le nom de l’IOS comporte 4 parties séparées par un tiret xxx-yyy-zzz-vvv
5°) Chargement du fichier de configuration (startup-c onfig)
stocké dans la mémoire NVRAM il est chargé dans la mémoire principale RAM (renommé
Running-config), puis il est exécuté ligne par ligne. Les commandes de configuration
lancent les processus de routage, fournissent les adresses aux interfaces et définissent les
autres caractéristiques de fonctionnement du routeur.
Fichier de configuration en NVRAM valide :
Le mode utilisateur est activé (mode normal)
Fichier de configuration en NVRAM non valide :
Le système d’exploitation recherche un serveur TFTP disponible. S’il n’en trouve aucun, le
dialogue de configuration est établi. Le mode setup est activé
Pour restaurer un fichier de configuration sauvé prealablement sur un serveur TFTP :
Router# copy tftp startup-config
À l'invite du système, tapez l'adresse IP du serveur TFTP où se trouve le fichier de
configuration, puis entrez le nom du fichier de configuration du serveur TFTP à charger ou
acceptez le nom par défaut. Confirmez le nom du fichier de configuration (startup-config)
MODE SETUP
Le mode setup permet à l’administrateur d’installer une configuration minimale pour un
routeur s’il lui est impossible d’obtenir une configuration d’une autre source.
Dans le mode setup, les réponses par défaut apparaissent entre crochets [ ] à la suite de la
question. Appuyez sur la touche Entrée pour accepter les valeurs par défaut.
L’appui sur Ctrl-C met fin au processus. Lorsque vous achevez la configuration à l’aide de
Ctrl-C, toutes les interfaces sont administrativement désactivées.
L’appui sur ? Fournit une aide en ligne.
Procedure de récupération de mot de passe
Méthode d’accès à un routeur avec un mot de passe (enable) de mode
privilégié inconnu.
démarrer le routeur et taper la commande
Router> Show version
Renvoie Le modèle de routeur, l’emplacement et le nom de l’IOS utilisé, la taille mémoire
totale, les caractéristiques du matériel de l’équipement (nombre et type d'interfaces
installées), et la valeur du registre de configuration. Relever cette valeur.
Eteindre puis rallumer le routeur.
Dès que le routeur affiche « System Bootstrap, Version … » appuyez simultanément sur la
touche Ctrl et sur la touche Attn. Le routeur démarre alors en mode surveillance ROM.
rommon 1 > confreg 0x2142
Eteindre puis rallumer le routeur.
À cause de la nouvelle valeur du registre de configuration, le routeur ne charge pas le
fichier de configuration. Le système demande :
“Would you like to enter the initial configuration dialog? [yes]: No
Router>enable ; passe en mode privilégié sans mot de passe
Router#copy startup-config running-config ; restaure la configuration existante
Router#configure terminal ,passer en mode de configuration globale
Router(config)#enable secret new_password ; modifie le mot de passe
Router(config)# config-register xxxxxxx. xxxxxxx est la valeur du registre de configuration
originale enregistrée
Router(config)#exit
Router#copy running-config startup-config ; enregistre la nouvelle configuration.
Router# reload ; redémarre le routeur.
Configuration d’un Routeur
Attribution d’un nom unique :
Router#configure terminal ,passer en mode de configuration globale
Router(config)#hostname Annecy
Configuration des mots de passe d’un routeur :
sur la ligne de console :
Annecy(config)#line console 0
Annecy (config-line)#password <password>
Annecy (config-line)#login
sur les lignes VTY 0,1,2,3,4 (5 ligne maxi):
Annecy(config)#line vty 0 4
Annecy (config-line)#password <password>
Annecy (config-line)#login
Pour l’accès au mode privilégié :
Annecy(config)#enable password <password> ; le mot de passe est en clair
Annecy(config)#enable secret <password> ; le mot de passe est crypté
Cryptage simple à tous les mots de passe non cryptés (VTY, console,
enable).
Annecy(config)# service password-encryption
Commandes Show
show versions :
Affiche des informations sur le logiciel actuellement chargé en mémoire ainsi que sur les
caractéristiques du matériel et de l’équipement.
Router#show version
show running-config :
Affiche le contenu du fichier de configuration exécuté actuellement en mémoire.
show startup-config:
Affiche le contenu de la NVRAM si elle est disponible et valide ou montre le fichier de
configuration référencé par la variable d’environnement CONFIG_FILE.
show controllers :
Affiche les caractéristiques des interfaces ou d’une interface spécifique. précise l’état des
canaux de l’interface et signalent la présence ou l’absence d’un câble.
Router#show controllers serial 0/1
show interfaces:
Affichent l'état, l'adresse IP ainsi que les statistiques relatives à toutes les interfaces du
routeur. C’est la 1ere commande à exécuter en cas de problème de connexion
Pour afficher les statistiques d’une interface spécifique, entrez la commande show interfaces,
suivie par le numéro spécifique de l’interface et du port.
Router#show interfaces serial 0/1
interface is up, line protocol is up : condition de ligne correcte
interface is down, line protocol is down : la ligne est inactive ou n’est pas connecté, le
câblage est défectueux ou incorrect, un équipement est défectueux .
interface is up, line protocol is down : un routeur local ou distant est mal configuré. Aucun
test d’activité n’est envoyé par le routeur distant.
interface is up, line protocol is disabled: Un taux d’erreur important est survenu du fait d’un
problème au niveau du fournisseur Wan, un problème est survenu au niveau du matériel d’une
unité CSU/DSU, le matériel du routeur ‘interface) est hors service
interface is administratively down, line protocol is down: La configuration du routeur inclut
la commande de désactivation de l’interface (shutdown) ou il existe une adresse IP dupliquée.
show protocols :
Affiche l’état général et propre aux interfaces de tous les protocoles de couche 3 configurés.
Affichent aussi l'état et l'adresse IP de toutes les interfaces d'un routeur
show ip protocols :
Affiche les protocoles de routage utilisés pour l’acheminement du trafic IP sur le routeur. Ces
informations peuvent être utilisées pour vérifier la configurations RIP. Les éléments de
configuration les plus courants à vérifier sont les suivants:
Est-ce que RIP est configuré?
Est-ce que les interfaces appropriées envoient et reçoivent des mises à jour RIP?
Est-ce que le routeur annonce les réseaux appropriés?
show ip route :
Affiche les routes reçues par les voisins présentes dans la table de routage. Signification des
lettres (codes) C : directement connecté, S: static, R: Rip, I: IGRP
Lettre : façon dont la route est connue
Adresse ip route destination
Distance administrative (seule la route de plus petite valeur est gardée dans la table de
routage) / valeur de la métrique (nb de routeur à traverser pour atteindre destination)
connecté=0 static=1 EIGRP interne=90, EIGRP externe=170, RIP=120, IGRP =100
Via adresse du routeur du saut suivant
Temps passé depuis la dernière mise à jour
show cdp neighbours:
Affiche les informations sur les réseaux directement connectés au routeur et dont la
connectivité de couche 2 est valide . CDP fournit des informations sur chaque
équipement CDP voisin en transmettant des TLV (Type Length Value), c’est-à-dire
des blocs d’informations incorporés dans des annonces CDP.
Les TLV d’équipement affichées par les commandes show cdp neighbors sont
notamment:
l’identifiant, l’interface locale, la durée de conservation, la capacité, la plate-forme,
l’ID du port.
CONFIGURATION d’une INTERFACE SERIE (WAN)
Router>enable
Router#configure terminal
Router(config)#interface serial 0
Router(config-if)#ip address 192.168.15.1 255.255.255.0 ; ad IP puis masque
Router(config-if)#clock rate 56000; définition fréquence horloge
Router(config-if)#no shutdown ; activation interface; par défaut elles sont toutes désactivées
Router(config-if)#exit
Router(config)#exit
Router#copy running–config startup-config
Router#Reload (redémarage pour prise en compte)
Pour désactiver administrativement une interface
Router(config-if)# shutdown
CONFIGURATION d’une INTERFACE ETHERNET (LAN)
Router>enable
Router#configure terminal
Router(config)#interface FastEthernet 0
Router(config-if)#ip address 192.168.15.1 255.255.255.0 ; ad IP puis masque
Router(config-if)#no shutdown ; activation interface, par défaut elles sont toutes désactivées
Router(config-if)#exit
Router(config)#exit
Router#copy running–config startup-config
Router#Reload (redémarage pour prise en compte)
CONFIGURATION d’une DESCRIPTION D’INTERFACE
C’est un commentaire qui permet d’identifier une inteface. Cette description n,’a aucun effet sur
le fonctionnement, elle permet simplement de faciliter le depannage.
router>enable
Router#configure terminal
Router(config)#interface FastEthernet 0
Router(config-if)# description LAN Engineering, Bldg.2
Router(config-if)#exit
Router(config)#exit
Router#copy running–config startup-config
Router#Reload (redémarage pour prise en compte)
PROTOCOLE CDP
CDP (Cisco Discovery Protocol) est un protocole de couche 2 qui relie des médias physiques
de niveau inférieur et des protocoles de couche réseau de niveau supérieur.
CDP sert principalement à découvrir tous les équipements Cisco qui sont directement
connectés à un équipement local.
CDP permet d’obtenir des informations sur les équipements voisins, comme leurs types, les
interfaces du routeur auxquelles ils sont connectés, les interfaces utilisées pour établir les
connexions, ainsi que leurs numéros de modèle.
CDP est indépendant du média comme du protocole, et il s’exécute sur tous les équipements
Cisco, par-dessus le protocole SNAP (Subnetwork Access Protocol).
Lors du démarrage d’un équipement Cisco, CDP démarre de façon automatique et permet à
l’équipement de détecter les équipements voisins qui exécutent comme lui ce protocole. CDP
s’exécute sur la couche liaison de données et permet à deux systèmes de se découvrir, même
s’ils utilisent des protocoles de couche réseau différents.
Les annonces contiennent également des informations de « durée de vie » ou durée de
conservation, indiquant pendant combien de temps les équipements récepteurs doivent
conserver les informations CDP avant de les éliminer. De plus, chaque équipement écoute les
messages CDP périodiques envoyés par les autres équipements afin d’identifier ceux qui se
trouvent dans le voisinage.
Ces informations peuvent être utilisées pour créer un schéma de réseau des équipements
connectés, cela crée risque potentiel de sécurité pour le réseau
TELNET
Telnet est un protocole de terminal virtuel qui fait partie de la pile de protocoles TCP/IP. Il
permet de se connecter à des hôtes distants.
Telnet est une commande EXEC de l’IOS qui permet de vérifier le logiciel de la couche
application entre l’origine et la destination. Il s’agit du mécanisme de test le plus complet qui
soit.
Telnet fonctionne au niveau de la couche application du modèle OSI. Telnet s’appuie sur TCP
afin de garantir un acheminement correct et ordonné des données entre le client et le serveur.
Un routeur peut établir simultanément plusieurs sessions Telnet entrantes. La plage comprise
entre zéro et quatre sert à spécifier cinq lignes VTY ou Telnet. Ces cinq sessions Telnet
entrantes pourraient avoir lieu en même temps.
Etablissement d’une connexion TELNET
Pour lancer une session Telnet, n’importe laquelle des alternatives suivantes peut être utilisée
en mode utilisateur ou privilégié :
Denver> connect paris
Denver> paris
Denver> 131.108.100.152
Denver> telnet paris
Denver> telnet 131.108.100.152
Un nom ne peut fonctionner qu’en présence d’une table de noms d’hôtes ou d’un accès à DNS
pour Telnet. Sinon, vous devez entrer l’adresse IP du routeur distant.
Routage statique
Les opérations de routage statique s’articulent en trois parties:
L’administrateur réseau configure la route
Le routeur insère la route dans la table de routage
Les paquets sont acheminés à l’aide de la route statique
La distance administrative par défaut est 1 quand on utilise une route statique. Lorsqu'une
interface de sortie est configurée comme passerelle dans une route statique, la route statique
apparaît comme étant directement connectée. Ceci peut parfois porter à confusion, car une
route vraiment directement connectée a une distance administrative de 0.
routeur(config)#ip route 172.16.3.0 255.255.255.0 172.16.4.1 130 ; Le coût de la
route est défini à 130. le paquet destiné à 172.16.3.0 sera acheminé vers le routeur
suivant d’adresse 172.16.4.1 si aucune route de coût plus faible n’existe.
routeur(config)#ip route 172.15.7.0 255.255.255.0 172.30.4.1
routeur(config)#ip route 172.14.0.0 255.255.255.0 s0 (interface serie 0 de sortie)
Configuration de l’acheminement par défaut
Les routes par défaut permettent de router des paquets dont les destinations ne correspondent
à aucune autre route de la table de routage.
Une route par défaut est en fait une route statique spéciale qui utilise le format:
ip route 0.0.0.0 0.0.0.0 [adresse de saut suivant | interface de sortie ]
routeur(config)#ip route 0.0.0.0 0.0.0.0 172.16.4.1 ;toute adresse ne possédant pas de route
identifiée sera transmise à l’adresse 172.16.4.1 du routeur suivant
routeur(config)#ip route 0.0.0.0 0.0.0.0 s0 ; toute adresse ne possédant pas de route identifiée
sera transmise à l’adresse l’interface s0
Protocole de routage RIP
Il s’agit d’un protocole de routage à vecteur de distance
Le nombre de saut est la métrique utilisée pour sélectionner le chemin
Si le nombre de saut est supérieur à 15, le paquet est éliminé
Par défaut, les mises à jour de routage sont diffusées toutes les 30 secondes
RIP utilise le port 520
Configuration du protocole RIP
router(config)#router rip – Sélectionne le protocole RIP comme protocole de routage
Tous les reseaux directement connectés doivent être déclarés
router(config-router)#network 10.0.0.0 – Spécifie un réseau directement connecté.
router(config-router)#network 192.168.13.0 – Spécifie un réseau directement connecté.
Utilisation de la commande IP classless
Un routeur peut parfois recevoir des paquets destinés à un sous-réseau inconnu ou à un
réseau comportant des sous-réseaux directement connectés. Pour que la plate-forme
logicielle Cisco IOS transmette ces paquets à la meilleure route SUPERNET possible,
utilisez la commande ip classless en mode de configuration globale. Une route
SUPERNET permet de couvrir un plus grand nombre de sous-réseaux avec une seule
entrée. La commande ip classless est activée par défaut à partir de la version 11.3 de la
plate-forme logicielle CISCO IOS. Pour désactiver cette fonction, utilisez la forme no de
cette commande.
Lorsque cette fonction est désactivée, les paquets destinés à un sous-réseau inclus
numériquement dans le système d'adressage de sous-réseau du routeur sont supprimés.
Activation du Routage ip sans classe
Router#Configure terminal
Router(config)#ip classless
une classe A d’adresse du réseau est
définie. Cela donne une adresse réseau
de 10.0.0.0. sans Ipclassless toute
adresse comprise entre 10.0.0.0 et
10.255.255.255 sera considérée
appartenir au réseau et par conséquent
ne sera pas transmise à la route par
défaut sur l’interface s0/0 et sera détruit
Empêcher les mises à jour du routage via une interface
La commande passive interface permet d’empêcher les routeurs d’envoyer des mises à
jour de routage via une interface de routeur. Ceci permet d’empêcher les autres systèmes
de ce réseau d’apprendre les routes de façon dynamique.
Pour les protocoles RIP et IGRP, la commande passive interface empêche le routeur
d’envoyer des mises à jour de routage à un voisin particulier tout en lui permettant
d’écouter les mises à jour de routage provenant de ce même voisin. En empêchant l’envoi
de messages de mises à jour de routage via une interface de routeur, les autres systèmes
de ce réseau ne peuvent pas apprendre les routes de façon dynamique
Router(config)#router rip
Router(config-router)# passive interface Fa0/0
Equilibrage de charge RIP
L’équilibrage de charge décrit la possibilité pour un routeur de transmettre des paquets
vers une adresse IP de destination en utilisant plusieurs chemins. L’équilibrage de charge
est un concept permettant à un routeur de bénéficier de plusieurs « meilleurs chemins »
vers une destination donnée. Les chemins peuvent être définis de manière statistique ou
calculés par un protocole de routage dynamique tel que RIP, EIGRP, OSPF et IGRP.
Lorsqu’un routeur apprend plusieurs routes vers un réseau spécifique, c’est la route avec
la distance administrative la plus courte qui est ajoutée à la table de routage. Le routeur
doit parfois sélectionner une route parmi plusieurs, apprises via le même processus de
routage, avec la même distance administrative. Dans ce cas, le routeur choisit le chemin
de moindre coût ou présentant la métrique la plus basse vers la destination. Chaque
processus de routage calcule son coût différemment et il peut être nécessaire de
configurer les coûts manuellement pour réaliser l’équilibrage de charge.
Il peut y avoir jusqu’à six routes de coût égal
RIP est capable de gérer un équilibrage de charge sur six chemins de coût égal avec
quatre chemins par défaut. RIP réalise ce qu’on appelle un équilibrage de charge de
recherche séquentielle. En d’autres termes, RIP envoie tour à tour les paquets sur les
chemins parallèles.
soit un exemple de routes RIP à quatre chemins de coût égal. Au démarrage, le routeur
utilise un pointeur d’interface qui pointe sur l’interface connectée au routeur 1. Ensuite, le
pointeur d’interface boucle sur les interfaces et les routes d’une façon déterministe selon
le modèle 1-2-3-4-1-2-3-4-1, etc. Comme la métrique utilisée pour le protocole RIP est le
nombre de sauts, aucune importance n’est accordée au débit des liaisons.
Lors de l’affichage de la table de routage, un astérisque (*) en regard d’une des entrées
identifie la route active utilisée pour le nouveau trafic
Protocole de routage IGRP
Le protocole IGRP (Interior Gateway Routing Protocol) est un protocole propriétaire
développée par Cisco. De par sa conception, le protocole IGRP est doté, entre
autres, des caractéristiques suivantes:
Il s'agit d'un protocole de routage à vecteur de distance.
La bande passante, la charge, le délai et la fiabilité sont utilisés pour créer une
métrique composite. Le chemin choisi sera celui qui offrira la bande passante la plus
élevée.
IGRP a la capacité d'évoluer pour des réseaux importants.
Par défaut, les mises à jour du routage sont diffusées toutes les 90 secondes.
Configuration du protocole IGRP
router(config)#router igrp 101 – Sélectionne le protocole igrp comme protocole de routage
pour le système autonome 101
Tous les reseaux directement connectés doivent être déclarés
router(config-router)#network 10.0.0.0 – Spécifie un réseau directement connecté.
router(config-router)#network 192.168.13.0 – Spécifie un réseau directement connecté.
Listes de contrôle d’accès (ACL)
Les listes de contrôle d’accès sont des listes de conditions qui sont appliquées au trafic
circulant via une interface de routeur. Ces listes indiquent au routeur les types de paquets à
accepter ou à rejeter. L’acceptation et le refus peuvent être basés sur des conditions précises.
Les ACL permettent de gérer le trafic et de sécuriser l’accès d’un réseau en entrée comme en
sortie.
Les listes de contrôle d’accès doivent être définies en fonction d’un protocole, d’une direction
ou d’une interface. les instructions d’une liste de contrôle d’accès fonctionnent dans l’ordre
séquentiel logique. Si une condition est satisfaite, le paquet est autorisé ou refusé et les autres
instructions ne sont pas vérifiées. Si aucune des instructions ne correspond au paquet, une
instruction implicite deny any est placée à la fin de la liste par défaut. L’instruction invisible
deny any sur la dernière ligne d’une ACL interdit l’accès de tout paquet qui ne correspond pas
aux instructions de la liste de contrôle d’accès.
Deux mots-clés spéciaux sont utilisés dans les listes de contrôle d’accès, les options any et
host. L’option any remplace 0.0.0.0 dans l’adresse IP et 255.255.255.255 dans le masque
générique. Cette option établit une correspondance avec toute adresse avec laquelle elle est
comparée. L’option host remplace le masque 0.0.0.0. Ce masque nécessite une
correspondance parfaite entre tous les bits de l’adresse ACL et ceux de l’adresse du paquet.
Avec cette option, une seule adresse concorde.
Des opérateurs logiques peuvent être spécifiés, par exemple égal (eq), non égal (neq),
supérieur à (gt) et inférieur à (lt), et appliqués à des protocoles spécifiques.
Listes de contrôle d’accès standard
Les listes d’accès standard vérifient l’adresse d’origine des paquets IP qui sont routés.
Selon le résultat de la comparaison, l’acheminement est autorisé ou refusé pour un
ensemble de protocoles complet en fonction des adresses réseau, de sous-réseau et
d’hôte. Les listes d’accès standard doivent être appliquées le plus près possible de la
destination car elles ne précisent pas les adresses de destination.
Le numéro de la liste d’accès doit être dans l’une des plages 1 à 99 ou 1300 à 1999
Les trois lignes suivantes sont similaires.Seule l’adresse 171.69.2.88 sera autorisée
Router(config)#access-list 44 permit host 171.69.2.88
Router(config)#access-list 44 permit 171.69.2.88 0.0.0.0
Router(config)#access-list 44 permit 171.69.2.88 ; le masque par défaut est alors 0.0.0.0
Router(config)#access-list 44 deny 172.16.2.0 0.0.0.255 ; toutes les adresses comprises
entre 172.16.2.0 et 172.16.2.255 sont refusées
Router(config)#access-list 44 permit 172.69.1.0 0.0.0.255 ; toutes les adresses
comprises entre 172.69.1.0 et 172.69.1.255 sont acceptées
Par défaut toutes les autres adresses seront rejetées (access-list 44 deny any)
Router(config)#access-list 45 permit any ; cette liste permet de tout accepter
Router(config)# interface fa0/0 ; applique la liste d’accès à l’interface Fa0/0
Router(config-if)# ip access-group 45 out
Router(config-if)# ip access-group 44 in ; Pour déterminer si une liste de contrôle
d’accès concerne le trafic entrant ou sortant, l’administrateur réseau doit regarder les
interfaces comme s’il était positionné à l’intérieur du routeur. Les paquets reçus par une
interface sont filtrés par une liste de contrôle d’accès pour trafic entrant tandis que les
paquets envoyés par une interface sont filtrés par une liste de contrôle d’accès pour trafic
sortant.
Listes de contrôle d’accès étendues
Les listes d’accès étendues sont utilisées plus souvent que les listes d’accès standard car
elles fournissent une plus grande gamme de contrôle. Les listes d’accès étendues
vérifient les adresses d’origine et de destination du paquet, mais peuvent aussi vérifier
les protocoles et les numéros de port. Les listes d’accès étendues doivent être
appliquées le plus près possible de la source du trafic refusé.
Le numéro de la liste d’accès doit être dans l’une des plages 100 à 199 ou 2000 à 2699
access-list N° permit protocol source masque générique destination masque générique (opérateur port)
deny
Valeur des champs :
Protocol : eigrp, gre, icmp igmp, ip (inclus ICMP, TCP et UDP), ipinip, nos,ospf,pim, tcp, udp
Source masque générique : adresse ip masque générique (192.168.1.0 0.0.0.255)
host adresse ip (host 192.168.1.0)
any
Destination masque générique : idem source
Opérateur (optionnel) : lt (<), gt (>), eq (=), neq (≠), range (game inclusive, necessite 2
valeurs de ports)
Port (optionnel) : numéro en décimal ou le nom d'un port TCP ou UDP.
Les noms de port TCP ne peuvent être spécifiés que pour un filtrage TCP.
HTTP=80, FTP=21, Telnet=23, SMTP=25, DNS=53, POP3=110
Les noms de port UDP ne peuvent être spécifiés que pour un filtrage UDP.
DNS=53, TFTP=69, SNMP=161, RIP=520
Router(config)# access-list 187 permit tcp host 192.168.42.34 172.29.0.0 0.0.255.255 eq 23
Autorise le trafic telnet de l’hôte 192.168.42.34 vers le réseau 172.29.0.0
Router(config)# access-list 187 permit tcp 192.168.42.0 0.0.0.255 172.29.0.0 0.0.255.255 eq telnet
Autorise le trafic telnet du réseau 192.168.42.0 vers le réseau 172.29.0.0
Router(config)# access-list 187 permit tcp 192.16.6.0 0.0.0.255 any eq ftp
Autorise tout le trafic ftp en provenance du réseau 192.16.6.0
Router(config)# access-list 187 permit ip 192.168.2.0 0.0.0.255 any
Autorise tout le trafic ip en provenance du réseau 192.168.2.0
Router(config)# access-list 187 permit tcp 10.90.3.0 0.0.0.255 any eq www
Autorise tout le trafic web en provenance du réseau 10.90.3.0
Modification et suppression d’une liste de contrôle d’accès
Les nouvelles lignes sont toujours ajoutées à la fin de la liste de contrôle d’accès. La
commande no access-list x supprime toute la liste. Il n’est pas possible d’ajouter et de
supprimer des lignes spécifiques dans des listes d’accès numérotées.
Router(config)# no access-list 187
Vérification d’une listes de contrôle d’accès
show ip interface : Affiche les informations relatives à l’interface IP et indique si des listes de
contrôle d’accès sont configurées.
show access-lists : Affiche le contenu de toutes les listes de contrôle d’accès sur le routeur.
Pour afficher une liste spécifique, ajoutez le nom ou le numéro de la liste de contrôle d’accès
en tant qu’option de cette commande.
show running-config : Affiche les listes d’accès d’un routeur, ainsi que les informations
d’affectation aux interfaces.
router(config)#show access-list 1
Listes de contrôle d’accès étendues
Les listes de contrôle d’accès nommées IP ont été introduites dans la plate-forme logicielle
Cisco IOS version 11.2, afin d’attribuer des noms aux listes d’accès standard et étendues à la
place des numéros. Les avantages procurés par une liste d’accès nommée sont les suivants:
•Identifier de manière intuitive une liste d’accès à l’aide d’un nom alphanumérique.
•L’IOS ne limite pas le nombre d’ACL nommées qui peuvent être configurées.
•Les ACL nommées permettent de modifier des listes de contrôle d’accès sans avoir à les
supprimer, puis à les reconfigurer. Il est important de noter qu’une liste d’accès nommée
permet de supprimer des instructions, et d’insérer des instructions uniquement à la fin de la
liste. Même avec des listes d’accès nommées, il est préférable d’utiliser un éditeur de texte
pour les créer.
Une liste de contrôle d’accès nommée est créée avec la commande ip access-list.
L’utilisateur passe en mode de configuration d’ACL. En mode de configuration de liste de
contrôle d’accès, précisez une ou plusieurs conditions d’autorisation ou de refus. Cela
détermine si le paquet est acheminé ou abandonné lorsque l’instruction ACL est satisfaite.
Router(config)# ip access-list extended name
standard
Router(config-ext-nacl)#permit tcp 10.90.3.0 0.0.0.255 any eq www
Router(config-ext-nacl)#deny ip 198.168.3.0 0.0.0.255 any