ACL extended (étendue) : permettent filtrer des paquets en fonction de l'adresse ip et Port de source et destination, Du type de protocole (TCP, UDP, ICMP, IGRP, IGMP, ...).
Règle :
-si le protocole = ahp, eigrp, esp, gre, icmp, ip, ospf
Router(config)#access-list <100-199> {deny|permit} protocole ip-source masque-générique ip-destination masque-générique
-si le protocole = udp, tcp ; ajouté le port source et destination (optionnel)
Router(config)#access-list <100-199> {deny|permit} protocole ip-source masque-générique [{eq|neq|gt|lt|range} port] ip-destination masque-générique [{eq|neq|gt|lt|range} port]
Activation d'une ACL sur une interface :
Router(config)#interface type numéro
Router(config-if)#ip access-group <100-199> {in|out}
Router(config-if)#exit
vérification
Router#show access-lists
Router(config)#interface type numéro
Router(config-if)#ip access-group <100-199> {in|out}
Router(config-if)#exit
vérification
Router#show access-lists
Exemple :
Question :
créer un ACL pour
-bloquer la connexion tcp de client_pc à Webserver_A sur le port 80
-autoriser la connexion udp de client_pc port 1400 à Webserver_A port 53
-bloquer la connexion ping de client_pc à le réseau 10.0.1.0/24
créer un ACL pour
-bloquer la connexion tcp de client_pc à Webserver_A sur le port 80
-autoriser la connexion udp de client_pc port 1400 à Webserver_A port 53
-bloquer la connexion ping de client_pc à le réseau 10.0.1.0/24
solution :
R1(config)#access-list 101 deny tcp host 10.0.0.2 host 10.0.1.2 eq 80
R1(config)#access-list 101 permit udp host 10.0.0.2 host 10.0.1.3 eq 53
R1(config)#access-list 101 deny icmp host 10.0.0.2 10.0.1.0 0.0.0.255
R1(config)#interface fa 0/0
R1(config-if)#ip access-group 101 in
R1(config-if)#exit