Listes de contrôle d'accès IPv4 étendues

Configuration de listes de contrôle d'accès IPv4 étendues

Les procédures de configuration des listes de contrôle d'accès étendues sont les mêmes que pour les listes de contrôle d'accès standard. La liste de contrôle d'accès étendue est d'abord configurée, puis elle est activée sur une interface. La syntaxe et les paramètres de commande sont plus complexes car ils prennent en charge des fonctions supplémentaires fournies par les listes de contrôle d'accès étendues.

Remarque : la logique interne appliquée pour ordonner les instructions des listes de contrôle d'accès standard ne s'applique pas aux listes de contrôle d'accès étendues. L'ordre dans lequel les instructions sont saisies lors de la configuration est l'ordre dans lequel elles s'affichent et sont traitées.

La Figure 1 illustre la syntaxe de commande courante pour les listes de contrôle d'accès étendues IPv4. Notez qu'il existe de nombreux mots-clés et paramètres pour les listes de contrôle d'accès étendues. Il n'est pas nécessaire de tous les utiliser lors de la configuration d'une liste de contrôle d'accès étendue. Souvenez-vous que vous pouvez utiliser le signe ? pour obtenir de l'aide lors de la saisie de commandes complexes.

La Figure 2 présente un exemple de liste de contrôle d'accès étendue. Dans cet exemple, l'administrateur réseau a configuré des listes de contrôle d'accès pour limiter l'accès au réseau. La navigation sur Internet est autorisée uniquement à partir du réseau local relié à l'interface G0/0. La liste de contrôle d'accès 103 autorise le trafic en provenance de toute adresse sur le réseau 192.168.10.0 à accéder à n'importe quelle destination, à condition que le trafic soit transféré via les ports 80 (HTTP) et 443 (HTTPS) uniquement.

La nature du protocole HTTP exige que le trafic revienne sur le réseau à partir des sites Web consultés par les clients internes. L'administrateur réseau souhaite limiter ce trafic retour aux échanges HTTP de sites Web demandés, et refuser tout autre trafic. La liste de contrôle d'accès 104 atteint cet objectif en bloquant tout trafic entrant, à l'exception des connexions établies précédemment. L'instruction « permit » de la liste de contrôle d'accès 104 autorise le trafic entrant à l'aide du paramètre established.

Le paramètre established autorise uniquement les réponses au trafic provenant du réseau 192.168.10.0/24 à revenir sur ce réseau. Il y a concordance si les bits ACK ou RST (réinitialisation) du segment TCP de retour sont définis, indiquant que le paquet appartient à une connexion existante. Sans le paramètre established dans l'instruction de la liste de contrôle d'accès, les clients pourraient envoyer le trafic vers un serveur Web, mais ne pourraient pas recevoir le trafic revenant de celui-ci.