Une liste de contrôle d'accès (ACL) est une liste ordonnée de filtres et d'actions. Chaque règle de classification, ainsi que son action, est appelée ACE (Access Control Element). Chaque ACE comporte différents groupes de trafic et actions associées. Une liste de contrôle d’accès peut contenir une ou plusieurs ACE, qui sont comparées ou mises en correspondance avec les paquets entrants de couche 3. L'action Autoriser ou Refuser correspond au filtre. Il peut être défini pour correspondre aux protocoles IP, aux ports source et de destination pour le trafic TCP ou UDP, aux valeurs d'indicateur pour les trames TCP, au type et au code ICMP et IGMP, aux adresses IP source et de destination (y compris les caractères génériques) ou aux valeurs de priorité DSCP/IP.
Cet article explique comment créer une ACL et une ACE basées sur IPv4 sur les commutateurs ESW2-350G.
Note: Un port peut être sécurisé avec une liste de contrôle d'accès ou configuré avec une stratégie QoS avancée, mais pas les deux. Il ne peut y avoir qu'une seule liste de contrôle d'accès par port, à l'exception qu'il est possible d'associer une liste de contrôle d'accès IPv4 et une liste de contrôle d'accès IPv6 à un seul port. Pour associer plusieurs listes de contrôle d’accès à un port, vous devez utiliser une stratégie avec une ou plusieurs cartes de classe.
· ESW2-350G
· ESW2-350G-DC
•1.3.0.62
Étape 1. Connectez-vous à l'utilitaire de configuration Web et choisissez Access Control > IPv4-Based ACL. La page ACL basée sur IPv4 s'ouvre :
Étape 2. Cliquez sur Ajouter pour ajouter une nouvelle liste d'accès.
Étape 3. Entrez un nom pour la liste de contrôle d’accès dans le champ Nom de la liste de contrôle d’accès.
Étape 4. Cliquez sur Apply pour écrire la liste de contrôle d'accès IPv4 dans le fichier de configuration en cours.
Étape 5. (Facultatif) Pour accéder à la table ACE basée sur IPv4, cliquez sur Table ACE basée sur IPv4.
Pour ajouter une entrée ACE à une liste de contrôle d’accès, procédez comme suit :
Étape 1. Utilisez l'utilitaire de configuration Web pour sélectionner Access Control > IPv4-Based ACE. La page ACE basée sur IPv4 s'ouvre :
Étape 2. Choisissez une liste de contrôle d'accès dans la liste déroulante et cliquez sur Ajouter. La fenêtre Add IPv4-based ACE apparaît :
Étape 3. Saisissez la priorité de l'ACE dans le champ Priority (Priorité). Les valeurs de priorité la plus élevée sont traitées en premier. La priorité la plus élevée est 1. Il a une plage de 1 à 2147483647.
Étape 4. Cliquez sur la case d'option Action souhaitée dans les options suivantes :
· Permit : autorise les paquets qui correspondent aux critères ACE.
· Deny : supprime les paquets qui répondent aux critères ACE.
· Shutdown : supprime les paquets qui répondent aux critères ACE et désactive le port d'où les paquets ont été reçus. Ces ports peuvent être réactivés à partir de la page des paramètres de port.
Étape 5. (Facultatif) Cochez la case Activer pour activer la plage de temps de l'ACE dans le champ Plage de temps.
Note: Une plage de temps doit être créée pour l'appliquer à l'ACE. Pour configurer une plage de temps, reportez-vous à l'article Time Range Configuration sur les commutateurs ESW2-350G.
Étape 6. Si vous avez coché Activer à l'étape 5, choisissez la plage de temps dans la liste déroulante Plage de temps à appliquer à l'ACE.
Étape 7. Cliquez sur Modifier pour accéder à la page Plage de temps pour modifier la plage de temps.La fenêtre de fermeture de la boîte de dialogue Confirmer s'affiche :
Remarque : pour configurer une plage de temps, reportez-vous à l'article Time Range Configuration sur les commutateurs ESW2-350G.
Étape 8. (Facultatif) Cliquez sur OK pour accéder à la page Plage de temps.
Étape 9. Le protocole utilisé dans l’ACE est configuré pour tous les protocoles réseau routés afin de filtrer les paquets au fur et à mesure qu’ils traversent un routeur. Cliquez sur la case d'option Protocol souhaitée dans les options suivantes :
· Any : sélectionne l'un des protocoles ACE IPv4.
· Select from list : sélectionnez l'un des protocoles dans la liste déroulante.
· Protocol ID to match : utilisé pour faire correspondre le protocole à un ID. La valeur par défaut pour différents protocoles tels que TCP qui est 6, UDP qui est 17, et pour ICMP qui est 58 et ainsi de suite ou l'utilisateur peut définir n'importe quelle valeur.
Étape 10. Dans le champ Adresse IP source, cliquez sur l'une des options disponibles en tant qu'adresse IP source :
· Any : cette option applique la règle d'accès à l'une des adresses IP disponibles dans un segment de réseau spécifique.
· défini par l'utilisateur : cette option vous permet d'entrer une adresse IP spécifique.
- Source IP Address Value : dans ce champ, saisissez l'adresse IP source.
- Source IP Wildcard Mask : dans ce champ, saisissez le masque générique de l'adresse IP source. Le masque générique vous permet de spécifier à quel hôte de l'adresse IP source cette liste d'accès est appliquée.
Étape 11. Dans le champ Destination IP Address, cliquez sur l'une des options disponibles en tant qu'adresse IP de destination :
· Any : cette option applique la règle d'accès à l'une des adresses IP disponibles dans un segment de réseau spécifique.
· défini par l'utilisateur : cette option vous permet d'entrer une adresse IP spécifique pour appliquer la règle d'accès :
- Destination IP Address Value : dans ce champ, saisissez l'adresse IP de destination.
- Destination IP Wildcard Mask : dans ce champ, saisissez le masque générique de l'adresse IP de destination. Le masque générique vous permet de spécifier à quels hôtes de l'adresse IP de destination cette liste d'accès est appliquée.
Étape 12. Le champ Port source est activé uniquement lorsque vous choisissez TCP ou UDP à l'étape 5. Cliquez sur la case d'option de l'une des options disponibles pour choisir le port source :
· Any : cette option accepte tout port source.
· Single : cette option vous permet d'entrer une valeur de port source unique.
· Range : cette option vous permet d'entrer une plage de ports source disponibles.
Étape 13. Le champ Port de destination n'est activé que lorsque vous choisissez TCP ou UDP à l'étape 5. Cliquez sur la case d'option de l'une des options disponibles pour choisir le port de destination :
· Any : cette option accepte tout port de destination.
· Single : cette option vous permet d'entrer une valeur de port de destination unique.
· Range : cette option vous permet d'entrer une plage de ports de destination disponibles.
Étape 14. Les champs Indicateurs TCP ne sont activés que lorsque vous choisissez TCP à l'étape 5. Cliquez sur l'une des cases d'option de chaque indicateur pour déterminer comment filtrer les valeurs d'indicateur TCP. Définissez sur 1 ou sur, Désactivez sur 0 ou sur off ou Ne vous souciez pas de x.
· Urg : cet indicateur est utilisé pour identifier les données entrantes comme urgentes.
· Ack : cet indicateur est utilisé pour accuser réception des paquets.
· Psh — Cet indicateur est utilisé pour s'assurer que les données reçoivent la priorité (qu'elles méritent) et qu'elles sont traitées à l'extrémité d'envoi ou de réception.
· Rst : cet indicateur est utilisé lorsqu'un segment arrive qui n'est pas destiné à la connexion actuelle.
· Syn : cet indicateur est utilisé pour les communications TCP.
· Fin : cet indicateur est utilisé lorsque la communication ou le transfert de données est terminé.
Étape 15. Cliquez sur un type de service qui est un trafic de contrôle de congestion, pour lequel l'hôte est désactivé en cas d'encombrement.
· Any : il peut s'agir de n'importe quel type de service pour la congestion du trafic.
· DSCP à faire correspondre : sélectionnez cette option pour implémenter le DSCP (Differentiated Service Code Point) comme type de service. DSCP est un mécanisme de classification et de gestion du trafic réseau. Saisissez la valeur DSCP que vous souhaitez appliquer à la règle d'accès.
· priorité IP à faire correspondre — Pour définir un type de préférence pour les paquets IPv6. Les mots clés associés aux valeurs de préférence IP sont 0 pour la routine, 1 pour la priorité, 2 pour l'immédiat, 3 pour la mémoire flash, 4 pour la mémoire flash, 5 pour la mémoire critique, 6 pour Internet, 7 pour le réseau. Saisissez la valeur que vous souhaitez appliquer à la règle d'accès.
Étape 16. Les champs ICMP ne sont activés que lorsque vous choisissez le protocole ICMP à l'étape 5. Il est utilisé pour envoyer des messages d'erreur lorsque le service n'est pas disponible ou qu'un hôte ou un routeur n'a pas pu être atteint. Il est également utilisé pour les messages de requête de relais. Cliquez sur l'une des cases d'option disponibles pour filtrer les types de message ICMP :
· Any : il peut s'agir de n'importe quel message d'erreur ou de requête.
· Sélectionner dans la liste : sélectionnez l'un des messages de contrôle autorisés dans la liste déroulante.
· type ICMP à faire correspondre — L'utilisateur doit entrer une plage comprise entre 0 et 255 pour correspondre aux messages de contrôle ICMP.
Étape 17. Le code ICMP est activé uniquement lorsque vous choisissez le protocole ICMP à l'étape 5. Il est utilisé pour fournir des informations plus spécifiques des messages de contrôle avec une valeur. Cliquez sur l'une des options disponibles :
· Any : il peut s'agir de n'importe quelle valeur qui correspond au message de contrôle.
· User Defined : saisissez le code ICMP que vous souhaitez filtrer. La valeur est définie à partir de la plage comprise entre 0 et 255, pour correspondre aux messages de contrôle.
Étape 18. Les champs IGMP sont activés uniquement lorsque vous choisissez le protocole IGMP à l'étape 5. Il gère l'appartenance des hôtes aux groupes de multidiffusion IP sur un segment de réseau. Cliquez sur l'une des cases d'option disponibles pour filtrer les types de message IGMP :
· Any : il peut exécuter n'importe quelle action IGMP.
· Select from list : sélectionnez l'un des protocoles dans la liste déroulante.
- DVMRP : il utilise une technique d'inondation de chemin inverse, envoyant une copie d'un paquet reçu via chaque interface, à l'exception de celle à laquelle le paquet est arrivé.
- Host-Query : envoie régulièrement des messages de requête hôte généraux sur chaque réseau connecté pour obtenir des informations.
- Host-Reply : répond à la requête .
- PIM - Il est utilisé entre les routeurs de multidiffusion locaux et distants pour diriger le trafic de multidiffusion du serveur de multidiffusion vers de nombreux clients de multidiffusion.
- Trace : fournit des informations sur la connexion et la sortie des groupes de multidiffusion IGMP.
· type IGMP de correspondance — Il fait correspondre le protocole IGMP avec l'adresse IP source et de destination et le masque, ainsi que le type IGMP qui a un nombre en décimal.
Étape 19. Cliquez sur Apply qui entraîne l'écriture de l'ACE IPv4 dans le fichier de configuration en cours.
Étape 20. (Facultatif) Cliquez sur Table des listes de contrôle d'accès basées sur IPv4 pour accéder à la page ACL basées sur IPv4.