Les ACL permettent de filtrer le trafic réseau en autorisant ou en bloquant certaines communications selon des critères (adresse IP, protocole, port…).
Créer un ACL numéro 1 et autoriser un réseau.
Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255
Utilisation : lorsqu’on souhaite contrôler simplement l'accès depuis certaines sources, sans se soucier de la destination ou des ports.
Dans les ACLs on utilise masque inverse.
Bloquer un hôte.
Router(config)# access-list 1 deny host 192.168.1.15
Router(config)# interface g0/0/1
Router(config-if)# ip access-group 1 {in|out}
in : filtre le trafic entrant sur l'interface.out : filtre le trafic sortant.Router(config)# ip access-list standard NOM_ACL
Router(config-std-nacl)# permit 192.168.1.0 0.0.0.255
Router(config)# interface g0/0/1
Router(config-if)# ip access-group NOM_ACL {in|out}
Router(config)# line vty 0 4
Router(config-line)# access-class NOM_ACL {in|out}
access-group : lie l’ACL à une interface.access-class : lie l’ACL à une ligne VTY (accès Telnet/SSH).L'ACL étendu permet un filtrage plus précis, dans cet exemple on spécifie l'adresse source ou le réseau source et optionnellment le port, suivi de l'adresse ou du réseau de destination et du port.
Router(config)# access-list 100 permit tcp 192.168.1.0 0.0.0.255 8.8.8.0 0.0.0.255 eq 80
Router(config)# access-list 100 permit tcp 192.168.1.0 0.0.0.255 host 8.8.8.8 eq 80
Router(config)# ip access-list extended NOM_ACL
Router(config-ext-nacl)# permit...
Router(config-ext-nacl)#permit icmp any any echo
Router(config-ext-nacl)#permit icmp any any echo-reply
Standard IP access list 15
10 permit 10.44.50.0 0.0.0.255
20 permit 10.44.60.0 0.0.0.255
Standard IP access list SSH-ACL
10 permit host 8.8.8.250
Extended IP access list FIREWALL
10 permit tcp host 8.8.8.250 host 209.68.5.6 eq 443
20 permit tcp host 8.8.8.250 host 209.68.5.6 range 20 ftp
30 permit icmp host 8.8.8.250 host 209.68.5.6 echo
40 permit tcp host 8.8.8.8 range 20 ftp 209.68.5.0 0.0.0.7 established
50 permit tcp host 8.8.8.8 eq 443 209.68.5.0 0.0.0.7 established
60 permit tcp host 8.8.8.8 eq domain 209.68.5.0 0.0.0.7 established
70 permit udp host 8.8.8.8 eq domain 209.68.5.0 0.0.0.7
80 permit tcp host 8.8.8.250 host 209.68.5.1 eq 22
90 deny ip any any
Extended IP access list INSIDE-TO-OUTSIDE
10 deny tcp 10.44.50.0 0.0.0.255 host 8.8.8.10 eq 443
20 deny tcp 10.44.50.0 0.0.0.255 host 8.8.8.10 eq www
30 deny tcp 10.44.60.0 0.0.0.255 host 8.8.8.10 eq www
40 deny tcp 10.44.60.0 0.0.0.255 host 8.8.8.10 eq 443
50 permit ip any any
Router# show ip access list