Constitution d’un routeur Cisco

CPUInterfaces WAN (sérial)

Interfaces LAN

(Ethernet)

Port consoleROM

FLASH

NVRAM

RAM

POST

bootstrap

Table routage

Running config

IOS

Câble paire inversée + adaptateur RJ45 / DB9

Registre config

Commandes Bootsystem

Fichier config (Startup config)

ETAPES de DEMARRAGE

1°) test automatique de mise sous tension (POST).Exécute les diagnostics chargés en mémoire ROM sur tous les modules physiques. Ces diagnostics vérifient le fonctionnement de base du processeur, de la mémoire et des ports d'interface réseau.

2°) Lancement du bootstrap en ROM.Un bootstrap est un jeu d’instructions simple qui teste le matériel et initialise l’IOS.

3°) Lecture du registre de configurationRegistre=0xnnn0 : mode moniteur ROM (appelé dans l’exam mode surveillance ROM) , démarrage manuel du système d’exploitation en entrant la commande b à l’invite du mode Registre=0xnnn1 : amorce la 1 ère image IOS dans la FlashRegistre=0xnnn2 : amorce les commandes boot system de la NVRAM(option par defaut) �Si la mémoire NVRAM ne contient pas de commandes boot system que le routeur peut utiliser, le système par défaut utilise l’IOS en mémoire flash. �Si la mémoire flash est vide, le routeur tente d’utiliser TFTP pour charger une image IOS à partir du réseau. Le routeur utilise la valeur du registre de configuration pour créer le nom du fichier à partir duquel il amorcera une image système par défaut stockée sur un serveur du réseau. �Si un serveur TFTP n'est pas disponible, le routeur chargera une version limitée de l'IOS de la ROM

Configuration des commandes Boot system en NVRAM

Router# configure terminal ; mode de configuration globaleRouter(config)# boot system flash c1700-l-f.131-2 ; Le routeur tentera de charger l’IOSc1700-l-f.131-2 à partir de la mémoire flashRouter(config)# boot system tftp c1700-l-mz.131-2 172.16.24.7 ; Le routeur tentera de charger l’IOS c1700-l-mz.131-2 à partir du serveur TFTP d’adresse IP 172.16.24.7Router(config)# boot system rom ; Le routeur tentera de charger l’IOS ; Le routeur tenterade charger l’IOS à partir de la mémoire ROMRouter(config)#exitRouter#copy running-config startup-config ; enregistre les commandes dans la mémoire NVRAM.

4°) Chargement de l’IOSLorsque l’IOS est chargé et opérationnel, Le modèle de routeur, la quantité de mémoire disponible et Le nombre et le type d'interfaces installées s’affiche sur l’écran de la console.Le nom de l’IOS comporte 4 parties séparées par un tiret xxx-yyy-zzz-vvv

5°) Chargement du fichier de configuration (startup-c onfig)stocké dans la mémoire NVRAM il est chargé dans la mémoire principale RAM (renomméRunning-config ), puis il est exécuté ligne par ligne. Les commandes de configuration lancent les processus de routage, fournissent les adresses aux interfaces et définissent les autres caractéristiques de fonctionnement du routeur.

�Fichier de configuration en NVRAM valide : Le mode utilisateur est activé (mode normal) �Fichier de configuration en NVRAM non valide : Le système d’exploitation recherche un serveur TFTP disponible. S’il n’en trouve aucun, le dialogue de configuration est établi. Le mode setup est activéPour restaurer un fichier de configuration sauvé prealablement sur un serveur TFTP :Router# copy tftp startup-configÀ l'invite du système, tapez l'adresse IP du serveur TFTP où se trouve le fichier de configuration, puis entrez le nom du fichier de configuration du serveur TFTP à charger ou acceptez le nom par défaut. Confirmez le nom du fichier de configuration (startup-config)

MODE SETUPLe mode setup permet à l’administrateur d’installer une configuration minimale pour un routeur s’il lui est impossible d’obtenir une configuration d’une autre source.Dans le mode setup, les réponses par défaut apparaissent entre crochets [ ] à la suite de la question. Appuyez sur la touche Entrée pour accepter les valeurs par défaut. L’appui sur Ctrl-C met fin au processus. Lorsque vous achevez la configuration à l’aide de Ctrl-C, toutes les interfaces sont administrativement désactivées. L’appui sur ? Fournit une aide en ligne.

Méthode d’accès à un routeur avec un mot de passe (e nable) de mode privilégié inconnu.démarrer le routeur et taper la commandeRouter> Show versionRenvoie Le modèle de routeur, l’emplacement et le nom de l’IOS utilisé, la taille mémoire totale, les caractéristiques du matériel de l’équipement (nombre et type d'interfaces installées), et la valeur du registre de configuration. Relever cette valeur.Eteindre puis rallumer le routeur.Dès que le routeur affiche « System Bootstrap, Version … » appuyez simultanément sur la touche Ctrl et sur la touche Attn . Le routeur démarre alors en mode surveillance ROM .rommon 1 > confreg 0x2142Eteindre puis rallumer le routeur.À cause de la nouvelle valeur du registre de configuration, le routeur ne charge pas le fichier de configuration. Le système demande :“Would you like to enter the initial configuration dialog? [yes]: NoRouter>enable ; passe en mode privilégié sans mot de passeRouter#copy startup-config running-config ; restaure la configuration existanteRouter#configure terminal , passer en mode de configuration globaleRouter(config)#enable secret new_password ; modifie le mot de passeRouter(config)# config-register xxxxxxx . xxxxxxx est la valeur du registre de configuration originale enregistréeRouter(config)#exitRouter#copy running-config startup-config ; enregistre la nouvelle configuration.Router# reload ; redémarre le routeur.

Procedure de récupération de mot de passe

Attribution d’un nom unique :Router#configure terminal , passer en mode de configuration globaleRouter(config)#hostname AnnecyConfiguration des mots de passe d’un routeur :sur la ligne de console :Annecy(config)#line console 0 Annecy (config-line)#password <password>Annecy (config-line)#loginsur les lignes VTY 0,1,2,3,4 ( 5 ligne maxi):Annecy(config)#line vty 0 4 Annecy (config-line)#password <password>Annecy (config-line)#loginPour l’accès au mode privilégié :Annecy(config)#enable password <password> ; le mot de passe est en clairAnnecy(config)#enable secret <password> ; le mot de passe est cryptéCryptage simple à tous les mots de passe non cryptés (VTY, console, enable).Annecy(config)# service password-encryption

Configuration d’un Routeur

show versions :Affiche des informations sur le logiciel actuellement chargé en mémoire ainsi que sur les

caractéristiques du matériel et de l’équipement. Router#show version

Commandes Show

show controllers :Affiche les caractéristiques des interfaces ou d’une interface spécifique. précise l’état des canaux de l’interface et signalent la présence ou l’absence d’un câble.Router#show controllers serial 0/1

show running-config :Affiche le contenu du fichier de configuration exécuté actuellement en mémoire.show startup-config :Affiche le contenu de la NVRAM si elle est disponible et valide ou montre le fichier de configuration référencé par la variable d’environnement CONFIG_FILE.

show interfaces :Affichent l'état, l'adresse IP ainsi que les statistiques relatives à toutes les interfaces du routeur. C’est la 1ere commande à exécuter en cas de problème de connexionPour afficher les statistiques d’une interface spécifique, entrez la commande show interfaces , suivie par le numéro spécifique de l’interface et du port.Router#show interfaces serial 0/1

interface is up, line protocol is up : condition de ligne correcteinterface is down, line protocol is down : la ligne est inactive ou n’est pas connecté, le câblage est défectueux ou incorrect, un équipement est défectueux .interface is up, line protocol is down : un routeur local ou distant est mal configuré. Aucun test d’activité n’est envoyé par le routeur distant. interface is up, line protocol is disabled: Un taux d’erreur important est survenu du fait d’un problème au niveau du fournisseur Wan, un problème est survenu au niveau du matériel d’une unité CSU/DSU, le matériel du routeur ‘interface) est hors serviceinterface is administratively down, line protocol is dow n: La configuration du routeur inclut la commande de désactivation de l’interface (shutdown ) ou il existe une adresse IP dupliquée.

show protocols :Affiche l’état général et propre aux interfaces de tous les protocoles de couche 3 configurés. Affichent aussi l'état et l'adresse IP de toutes les interfaces d'un routeur show ip protocols :Affiche les protocoles de routage utilisés pour l’acheminement du trafic IP sur le routeur. Ces

informations peuvent être utilisées pour vérifier la configurations RIP. Les éléments de configuration les plus courants à vérifier sont les suivants:Est-ce que RIP est configuré? Est-ce que les interfaces appropriées envoient et reçoivent des mises à jour RIP? Est-ce que le routeur annonce les réseaux appropriés?

show ip route :Affiche les routes reçues par les voisins présentes dans la table de routage. Signification des lettres (codes) C : directement connecté, S: static, R: Rip, I: IGRPLettre : façon dont la route est connueAdresse ip route destinationDistance administrative (seule la route de plus petite valeur est gardée dans la table de routage) / valeur de la métrique (nb de routeur à traverser pour atteindre destination)connecté=0 static=1 EIGRP interne=90, EIGRP externe=170, RIP=120, IGRP =100Via adresse du routeur du saut suivantTemps passé depuis la dernière mise à jour

show cdp neighbours:Affiche les informations sur les réseaux directement connectés au routeur et dont la connectivité de couche 2 est valide . CDP fournit des informations sur chaque équipement CDP voisin en transmettant des TLV (Type Length Value), c’est-à-dire des blocs d’informations incorporés dans des annonces CDP. Les TLV d’équipement affichées par les commandes show cdp neighbors sont notamment: l’identifiant, l’interface locale, la durée de conservation, la capacité, la plate-forme, l’ID du port.

Router>enableRouter#configure terminalRouter(config)#interface serial 0 Router(config-if)#ip address 192.168.15.1 255.255.255.0 ; ad IP puis masqueRouter(config-if)#clock rate 56000 ; définition fréquence horlogeRouter(config-if)#no shutdown ; activation interface; par défaut elles sont toutes désactivéesRouter(config-if)#exitRouter(config)#exitRouter#copy running–config startup-configRouter#Reload (redémarage pour prise en compte)

Pour désactiver administrativement une interfaceRouter(config-if)# shutdown

CONFIGURATION d’une INTERFACE SERIE (WAN)

Router>enableRouter#configure terminalRouter(config)#interface FastEthernet 0 Router(config-if)#ip address 192.168.15.1 255.255.255.0 ; ad IP puis masqueRouter(config-if)#no shutdown ; activation interface, par défaut elles sont toutes désactivéesRouter(config-if)#exitRouter(config)#exitRouter#copy running–config startup-configRouter#Reload (redémarage pour prise en compte)

CONFIGURATION d’une INTERFACE ETHERNET (LAN)

CONFIGURATION d’une DESCRIPTION D’INTERFACEC’est un commentaire qui permet d’identifier une inteface. Cette description n,’a aucun effet surle fonctionnement, elle permet simplement de faciliter le depannage.router>enableRouter#configure terminalRouter(config)#interface FastEthernet 0 Router(config-if)# description LAN Engineering, Bldg.2Router(config-if)#exitRouter(config)#exitRouter#copy running–config startup-configRouter#Reload (redémarage pour prise en compte)

CDP (Cisco Discovery Protocol) est un protocole de couche 2 qui relie des médias physiques de niveau inférieur et des protocoles de couche réseau de niveau supérieur.CDP sert principalement à découvrir tous les équipements Cisco qui sont directement connectés à un équipement local. CDP permet d’obtenir des informations sur les équipements voisins, comme leurs types, les interfaces du routeur auxquelles ils sont connectés, les interfaces utilisées pour établir les connexions, ainsi que leurs numéros de modèle. CDP est indépendant du média comme du protocole, et il s’exécute sur tous les équipements Cisco, par-dessus le protocole SNAP (Subnetwork Access Protocol). Lors du démarrage d’un équipement Cisco, CDP démarre de façon automatique et permet àl’équipement de détecter les équipements voisins qui exécutent comme lui ce protocole. CDP s’exécute sur la couche liaison de données et permet à deux systèmes de se découvrir, même s’ils utilisent des protocoles de couche réseau différents. Les annonces contiennent également des informations de « durée de vie » ou durée de conservation, indiquant pendant combien de temps les équipements récepteurs doivent conserver les informations CDP avant de les éliminer. De plus, chaque équipement écoute les messages CDP périodiques envoyés par les autres équipements afin d’identifier ceux qui se trouvent dans le voisinage.Ces informations peuvent être utilisées pour créer un schéma de réseau des équipements connectés, cela crée risque potentiel de sécurité pour le réseau

PROTOCOLE CDP

Telnet est un protocole de terminal virtuel qui fait partie de la pile de protocoles TCP/IP. Il permet de se connecter à des hôtes distants. Telnet est une commande EXEC de l’IOS qui permet de vérifier le logiciel de la couche application entre l’origine et la destination. Il s’agit du mécanisme de test le plus complet qui soit. Telnet fonctionne au niveau de la couche application du modèle OSI. Telnet s’appuie sur TCP afin de garantir un acheminement correct et ordonné des données entre le client et le serveur. Un routeur peut établir simultanément plusieurs sessions Telnet entrantes. La plage comprise entre zéro et quatre sert à spécifier cinq lignes VTY ou Telnet. Ces cinq sessions Telnetentrantes pourraient avoir lieu en même temps. Etablissement d’une connexion TELNETPour lancer une session Telnet, n’importe laquelle des alternatives suivantes peut être utiliséeen mode utilisateur ou privilégié :Denver> connect parisDenver> paris Denver> 131.108.100.152Denver> telnet parisDenver> telnet 131.108.100.152Un nom ne peut fonctionner qu’en présence d’une table de noms d’hôtes ou d’un accès à DNS pour Telnet. Sinon, vous devez entrer l’adresse IP du routeur distant.

TELNET

Les opérations de routage statique s’articulent en trois parties: L’administrateur réseau configure la route Le routeur insère la route dans la table de routage Les paquets sont acheminés à l’aide de la route statique La distance administrative par défaut est 1 quand on utilise une route statique. Lorsqu'une interface de sortie est configurée comme passerelle dans une route statique, la route statique apparaît comme étant directement connectée. Ceci peut parfois porter à confusion, car une route vraiment directement connectée a une distance administrative de 0. routeur(config)#ip route 172.16.3.0 255.255.255.0 17 2.16.4.1 130 ; Le coût de la route est défini à 130. le paquet destiné à 172.16.3.0 sera acheminé vers le routeur suivant d’adresse 172.16.4.1 si aucune route de coût plus faible n’existe.routeur(config)#ip route 172.15.7.0 255.255.255.0 17 2.30.4.1 routeur(config)#ip route 172.14.0.0 255.255.255.0 s0 (interface serie 0 de sortie)

Routage statique

Configuration de l’acheminement par défautLes routes par défaut permettent de router des paquets dont les destinations ne correspondent à aucune autre route de la table de routage.Une route par défaut est en fait une route statique spéciale qui utilise le format: ip route 0.0.0.0 0.0.0.0 [adresse de saut suivant | interface de sortie ] routeur(config)#ip route 0.0.0.0 0.0.0.0 172.16.4.1 ;toute adresse ne possédant pas de route identifiée sera transmise à l’adresse 172.16.4.1 du routeur suivantrouteur(config)#ip route 0.0.0.0 0.0.0.0 s0 ; toute adresse ne possédant pas de route identifiée sera transmise à l’adresse l’interface s0

Il s’agit d’un protocole de routage à vecteur de distanceLe nombre de saut est la métrique utilisée pour sélectionner le cheminSi le nombre de saut est supérieur à 15, le paquet est éliminéPar défaut, les mises à jour de routage sont diffusées toutes les 30 secondesRIP utilise le port 520

Protocole de routage RIP

Configuration du protocole RIP

router(config)#router rip – Sélectionne le protocole RIP comme protocole de routage Tous les reseaux directement connectés doivent être déclarésrouter(config-router)#network 10.0.0.0 – Spécifie un réseau directement connecté. router(config-router)#network 192.168.13.0 – Spécifie un réseau directement connecté.

Utilisation de la commande IP classlessUn routeur peut parfois recevoir des paquets destinés à un sous-réseau inconnu ou à un réseau comportant des sous-réseaux directement connectés. Pour que la plate-forme logicielle Cisco IOS transmette ces paquets à la meilleure route SUPERNET possible, utilisez la commande ip classless en mode de configuration globale. Une route SUPERNET permet de couvrir un plus grand nombre de sous-réseaux avec une seule entrée. La commande ip classless est activée par défaut à partir de la version 11.3 de la plate-forme logicielle CISCO IOS. Pour désactiver cette fonction, utilisez la forme no de cette commande. Lorsque cette fonction est désactivée, les paquets destinés à un sous-réseau inclus numériquement dans le système d'adressage de sous-réseau du routeur sont supprimés.Activation du Routage ip sans classe Router#Configure terminalRouter(config)#ip classless

une classe A d’adresse du réseau est définie. Cela donne une adresse réseau de 10.0.0.0. sans Ipclassless toute adresse comprise entre 10.0.0.0 et 10.255.255.255 sera considérée appartenir au réseau et par conséquent ne sera pas transmise à la route par défaut sur l’interface s0/0 et sera détruit

Empêcher les mises à jour du routage via une interfa ceLa commande passive interface permet d’empêcher les routeurs d’envoyer des mises àjour de routage via une interface de routeur. Ceci permet d’empêcher les autres systèmes de ce réseau d’apprendre les routes de façon dynamique. Pour les protocoles RIP et IGRP, la commande passive interface empêche le routeur d’envoyer des mises à jour de routage à un voisin particulier tout en lui permettant d’écouter les mises à jour de routage provenant de ce même voisin. En empêchant l’envoi de messages de mises à jour de routage via une interface de routeur, les autres systèmes de ce réseau ne peuvent pas apprendre les routes de façon dynamiqueRouter(config)#router rip Router(config-router)# passive interface Fa0/0

Equilibrage de charge RIPL’équilibrage de charge décrit la possibilité pour un routeur de transmettre des paquets vers une adresse IP de destination en utilisant plusieurs chemins. L’équilibrage de charge est un concept permettant à un routeur de bénéficier de plusieurs « meilleurs chemins »vers une destination donnée. Les chemins peuvent être définis de manière statistique ou calculés par un protocole de routage dynamique tel que RIP, EIGRP, OSPF et IGRP. Lorsqu’un routeur apprend plusieurs routes vers un réseau spécifique, c’est la route avec la distance administrative la plus courte qui est ajoutée à la table de routage. Le routeur doit parfois sélectionner une route parmi plusieurs, apprises via le même processus de routage, avec la même distance administrative. Dans ce cas, le routeur choisit le chemin de moindre coût ou présentant la métrique la plus basse vers la destination. Chaque processus de routage calcule son coût différemment et il peut être nécessaire de configurer les coûts manuellement pour réaliser l’équilibrage de charge.Il peut y avoir jusqu’à six routes de coût égal RIP est capable de gérer un équilibrage de charge sur six chemins de coût égal avec quatre chemins par défaut. RIP réalise ce qu’on appelle un équilibrage de charge de recherche séquentielle. En d’autres termes, RIP envoie tour à tour les paquets sur les chemins parallèles.soit un exemple de routes RIP à quatre chemins de coût égal. Au démarrage, le routeur utilise un pointeur d’interface qui pointe sur l’interface connectée au routeur 1. Ensuite, le pointeur d’interface boucle sur les interfaces et les routes d’une façon déterministe selon le modèle 1-2-3-4-1-2-3-4-1, etc. Comme la métrique utilisée pour le protocole RIP est le nombre de sauts, aucune importance n’est accordée au débit des liaisons.Lors de l’affichage de la table de routage, un astérisque (*) en regard d’une des entrées identifie la route active utilisée pour le nouveau trafic

Le protocole IGRP (Interior Gateway Routing Protocol) est un protocole propriétaire développée par Cisco. De par sa conception, le protocole IGRP est doté, entre autres, des caractéristiques suivantes:Il s'agit d'un protocole de routage à vecteur de dis tance. La bande passante, la charge, le délai et la fiabilité sont utilisés pour créer une métrique composite. Le chemin choisi sera celui qui offrira la bande passante la plus élevée.IGRP a la capacité d'évoluer pour des réseaux importants.Par défaut, les mises à jour du routage sont diffusées toutes les 90 secondes.

Protocole de routage IGRP

Configuration du protocole IGRP

router(config)#router igrp 101 – Sélectionne le protocole igrp comme protocole de routage pour le système autonome 101Tous les reseaux directement connectés doivent être déclarésrouter(config-router)#network 10.0.0.0 – Spécifie un réseau directement connecté. router(config-router)#network 192.168.13.0 – Spécifie un réseau directement connecté.

Les listes de contrôle d’accès sont des listes de conditions qui sont appliquées au trafic circulant via une interface de routeur. Ces listes indiquent au routeur les types de paquets àaccepter ou à rejeter. L’acceptation et le refus peuvent être basés sur des conditions précises. Les ACL permettent de gérer le trafic et de sécuriser l’accès d’un réseau en entrée comme en sortie. Les listes de contrôle d’accès doivent être définies en fonction d’un protocole, d’une direction ou d’une interface. les instructions d’une liste de contrôle d’accès fonctionnent dans l’ordre séquentiel logique. Si une condition est satisfaite, le paquet est autorisé ou refusé et les autres instructions ne sont pas vérifiées. Si aucune des instructions ne correspond au paquet, une instruction implicite deny any est placée à la fin de la liste par défaut. L’instruction invisible deny any sur la dernière ligne d’une ACL interdit l’accès de tout paquet qui ne correspond pas aux instructions de la liste de contrôle d’accès. Deux mots-clés spéciaux sont utilisés dans les listes de contrôle d’accès, les options any et host. L’option any remplace 0.0.0.0 dans l’adresse IP et 255.255.255.255 dans le masque générique. Cette option établit une correspondance avec toute adresse avec laquelle elle est comparée. L’option host remplace le masque 0.0.0.0. Ce masque nécessite une correspondance parfaite entre tous les bits de l’adresse ACL et ceux de l’adresse du paquet. Avec cette option, une seule adresse concorde.Des opérateurs logiques peuvent être spécifiés, par exemple égal (eq), non égal (neq), supérieur à (gt) et inférieur à (lt), et appliqués à des protocoles spécifiques.

Listes de contrôle d’accès (ACL)

Listes de contrôle d’accès standard Les listes d’accès standard vérifient l’adresse d’origine des paquets IP qui sont routés. Selon le résultat de la comparaison, l’acheminement est autorisé ou refusé pour un ensemble de protocoles complet en fonction des adresses réseau, de sous-réseau et d’hôte. Les listes d’accès standard doivent être appliquées le plus près possible de la destination car elles ne précisent pas les adresses de destination.Le numéro de la liste d’accès doit être dans l’une des plages 1 à 99 ou 1300 à 1999Les trois lignes suivantes sont similaires.Seule l’adresse 171.69.2.88 sera autoriséeRouter(config)#access-list 44 permit host 171.69.2.88 Router(config)#access-list 44 permit 171.69.2.88 0.0.0.0Router(config)#access-list 44 permit 171.69.2.88 ; le masque par défaut est alors 0.0.0.0

Router(config)#access-list 44 deny 172.16.2.0 0.0.0.255 ; toutes les adresses comprises entre 172.16.2.0 et 172.16.2.255 sont refuséesRouter(config)#access-list 44 permit 172.69.1.0 0.0.0.255 ; toutes les adresses comprises entre 172.69.1.0 et 172.69.1.255 sont acceptéesPar défaut toutes les autres adresses seront rejetées (access-list 44 deny any)Router(config)#access-list 45 permit any ; cette liste permet de tout accepterRouter(config)# interface fa0/0 ; applique la liste d’accès à l’interface Fa0/0Router(config-if)# ip access-group 45 out Router(config-if)# ip access-group 44 in ; Pour déterminer si une liste de contrôle d’accès concerne le trafic entrant ou sortant, l’administrateur réseau doit regarder les interfaces comme s’il était positionné à l’intérieur du routeur. Les paquets reçus par une interface sont filtrés par une liste de contrôle d’accès pour trafic entrant tandis que les paquets envoyés par une interface sont filtrés par une liste de contrôle d’accès pour trafic sortant.

Listes de contrôle d’accès étendues Les listes d’accès étendues sont utilisées plus souvent que les listes d’accès standard car elles fournissent une plus grande gamme de contrôle. Les listes d’accès étendues vérifient les adresses d’origine et de destination du paquet , mais peuvent aussi vérifier les protocoles et les numéros de port . Les listes d’accès étendues doivent être appliquées le plus près possible de la source du trafic refusé.Le numéro de la liste d’accès doit être dans l’une des plages 100 à 199 ou 2000 à 2699access-list N° permit protocol source masque générique destination masque générique (opérateur port)

denyValeur des champs :Protocol : eigrp, gre, icmp igmp, ip (inclus ICMP, TCP et UDP), ipinip, nos,ospf,pim, tcp, udpSource masque générique : adresse ip masque générique (192.168.1.0 0.0.0.255)

host adresse ip (host 192.168.1.0 )any

Destination masque générique : idem source

Opérateur (optionnel) : lt (<), gt (>), eq (=), neq (≠), range (game inclusive, necessite 2 valeurs de ports)Port (optionnel) : numéro en décimal ou le nom d'un port TCP ou UDP. Les noms de port TCP ne peuvent être spécifiés que pour un filtrage TCP. HTTP=80, FTP=21, Telnet=23, SMTP=25, DNS=53, POP3=110Les noms de port UDP ne peuvent être spécifiés que pour un filtrage UDP.DNS=53, TFTP=69, SNMP=161, RIP=520

Router(config)# access-list 187 permit tcp host 192.168.42.34 172.29.0.0 0.0.255.255 eq 23Autorise le trafic telnet de l’hôte 192.168.42.34 vers le réseau 172.29.0.0Router(config)# access-list 187 permit tcp 192.168.42.0 0.0.0.255 172.29.0.0 0.0.255.255 eq telnetAutorise le trafic telnet du réseau 192.168.42.0 vers le réseau 172.29.0.0Router(config)# access-list 187 permit tcp 192.16.6.0 0.0.0.255 any eq ftpAutorise tout le trafic ftp en provenance du réseau 192.16.6.0Router(config)# access-list 187 permit ip 192.168.2.0 0.0.0.255 anyAutorise tout le trafic ip en provenance du réseau 192.168.2.0Router(config)# access-list 187 permit tcp 10.90.3.0 0.0.0.255 any eq wwwAutorise tout le trafic web en provenance du réseau 10.90.3.0

Modification et suppression d’une liste de contrôle d’accèsLes nouvelles lignes sont toujours ajoutées à la fin de la liste de contrôle d’accès. La commande no access-list x supprime toute la liste. Il n’est pas possible d’ajouter et de supprimer des lignes spécifiques dans des listes d’accès numérotées. Router(config)# no access-list 187

Vérification d’une listes de contrôle d’accèsshow ip interface : Affiche les informations relatives à l’interface IP et indique si des listes de contrôle d’accès sont configurées. show access-lists : Affiche le contenu de toutes les listes de contrôle d’accès sur le routeur. Pour afficher une liste spécifique, ajoutez le nom ou le numéro de la liste de contrôle d’accès en tant qu’option de cette commande. show running-config : Affiche les listes d’accès d’un routeur, ainsi que les informations d’affectation aux interfaces. router(config)#show access-list 1

Listes de contrôle d’accès étendues

Les listes de contrôle d’accès nommées IP ont été introduites dans la plate-forme logicielle Cisco IOS version 11.2, afin d’attribuer des noms aux listes d’accès standard et étendues à la place des numéros. Les avantages procurés par une liste d’accès nommée sont les suivants: •Identifier de manière intuitive une liste d’accès à l’aide d’un nom alphanumérique. •L’IOS ne limite pas le nombre d’ACL nommées qui peuvent être configurées. •Les ACL nommées permettent de modifier des listes de contrôle d’accès sans avoir à les supprimer, puis à les reconfigurer. Il est important de noter qu’une liste d’accès nommée permet de supprimer des instructions, et d’insérer des instructions uniquement à la fin de la liste. Même avec des listes d’accès nommées, il est préférable d’utiliser un éditeur de texte pour les créer. Une liste de contrôle d’accès nommée est créée avec la commande ip access-list. L’utilisateur passe en mode de configuration d’ACL. En mode de configuration de liste de contrôle d’accès, précisez une ou plusieurs conditions d’autorisation ou de refus. Cela détermine si le paquet est acheminé ou abandonné lorsque l’instruction ACL est satisfaite.Router(config)# ip access-list extended name

standardRouter(config-ext-nacl)#permit tcp 10.90.3.0 0.0.0.255 any eq wwwRouter(config-ext-nacl)#deny ip 198.168.3.0 0.0.0.255 any