Création et gestion des ACL sur les commutateurs HP Procurve (Serie 5400)

Accueil

Création et gestion des ACL sur les commutateurs HP Procurve (Serie 5400)

Jeudi 17 mars 2011 | General | Charles Benon

HP, dans ses commutateurs Procurve, propose plusieurs manières d’implémenter les ACLs. Ces différents méthodes sont au nombre de quatre et ont chacune un objectif différent :

RACL (Routed ACL) : Filtre le trafic entrant ou sortant de l’interface (nécessite l’activation du routage sur le commutateur)
VACL (VLAN ACL) : Filtrage du trafic dans un VLAN et à destination du même VLAN
Static Port ACL : Filtrage du trafic entrant sur l’interface pour des flux commutés, routés ou à destination du commutateur
Radius ACL : Filtrage défini sur l’interface par un serveur Radius en fonction de l’identité du client

Ensuite, dans chacune de ces quatre implémentations, les listes d’accès IPv4 peuvent être de deux types :

Standard ACL : le filtrage ne s’effectue que sur l’adresse source
Extended ACL : le filtrage s’effectue sur les adresses source et destination ainsi que sur les options

Enfin, une ACE (Access Control Entry) correspond à une entrée de l’ACL.

Etant donné le besoin de filtrage sur un cœur de réseau de niveau 2/3, la méthode la plus adaptée sera l’utilisation des RACL en mode Extended (pour un filtrage plus fin du flux).

Voici les commandes principales permettant la gestion au quotidien des listes d’accès :

1.1.1 Ajout d’une ACL

Se connecter dans le menu configuration terminal, puis :

Ip access-list extended <Nom de l’ACL>

<Numéro de l’ACE> permit | deny <Protocole> <Source> <Destination>

Ensuite, se connecter sur l’interface VLAN sur laquelle l’ACL doit être appliquée :

Interface vlan <numéro du VLAN>

Ip access-group <Nom de l’ACL> <Sens de filtrage : IN | OUT>

Exemple :
Filtrage du sous-réseau 10.0.2.0/24 (appartenant au VLAN 2) vers l’adresse 192.168.1.1.

Ip access-list extended TEST
1 permit ip 10.0.2.0/24 host 192.168.1.1

Puis appliquer l’ACL sur l’interface VLAN :
Interface vlan 2 ip access-group TEST in

ATTENTION : Tout ce qui n’est pas explicitement autorisé est refusé.

Pour une communication entre deux VLAN ayant des ACLs configurées, il faut autoriser le flux de part et d’autre (perte de la notion de session).

Pour une communication au sein d’un même VLAN (même sous-réseau), le flux doit aussi être explicitement autorisé, sinon il est refusé (à condition que les flux d’un même sous-réseau transitent par les cœurs ou sur le commutateur sur lequel sont configurées les ACLs).

1.1.2 Suppression d’une ACL

La suppression est à faire en premier lieu sur l’interface VLAN dans laquelle la politique est utilisée :

Interface vlan <Numéro de VLAN>

No ip access-group <Nom de l’ACL> <Sens de filtrage : IN | OUT>

Ensuite, une fois la politique désactivée, elle peut être supprimée définitivement du commutateur par la commande :

no ip access-list extended <Nom de l’ACL>

1.1.3 Suppression d’une ACE

Par contre, si l’on souhaite uniquement supprimer une ACE, il faut rentrer dans l’ACL :

Ip access-list extended <Nom de l’ACL>

Puis supprimer l’ACE désirée en ne saisissant que son ID :

No <Nom de l’ACL>

1.1.4 Affichage des ACLs

L’affichage peut se faire selon plusieurs critères.

Tout d’abord, les ACLs peuvent être affichées en mode configuration (commandes saisies) :

show access-list config
ou
show access-list config pour la configuration d’une seule ACL

Ensuite, il est possible de les afficher par VLAN. Ceci permet de connaitre rapidement quelles ACLs sont utilisées dans un VLAN particulier :

show access-list vlan <Numéro de VLAN>

Tags: HP Procurve ACL listes d'accès commutateur switch filtrage

Retour en haut

Powered by WordPress | Theme design by Ori Pearl | Traduction du thème par WP Themes
referencement | huiles essentielles | Formations de Relaxologues

..:: Netstaff Blog

Infrastructure, Connectivité, Sécurité

Création et gestion des ACL sur les commutateurs HP Procurve (Serie 5400)

Articles récents

Catégories

Liens