Cisco Small Business 300 Serie Guide D'administration page 260

Contrôle d'accès
Listes de contrôle d' a ccès
REMARQUE
Guide d'administration du commutateur administrable Cisco Small Business série 300
Le commutateur prend en charge un maximum de 512 ACL et de 512 ACE.
Lorsqu'un paquet correspond à un filtre ACE, l'action ACE est appliquée et le
traitement de cette ACL est arrêté. Si le paquet ne correspond pas au filtre ACE,
l' A CE suivant est traité. Si tous les ACE d'une ACL ont été traités sans trouver de
correspondance et qu'il existe une autre ACL, celle-ci est traitée de manière
similaire. Si aucune correspondance n'est trouvée sur l'ensemble des ACE de
toutes les ACL appropriées, le paquet est abandonné (action par défaut). En raison
de cette action d'abandon par défaut, vous devez ajouter de façon explicite dans
l' A CL des ACE visant à autoriser l'ensemble du trafic, y compris le trafic de gestion,
tel que telnet, HTTP ou SNMP, dirigé vers le commutateur lui-même.
Si IGMP/MLD Snooping est activé sur un port lié à une ACL, ajoutez dans cette
dernière des filtres ACE pour transférer les paquets IGMP/MLD vers le
commutateur. Dans le cas contraire, IGMP/MLD Snooping échouera au niveau du
port.
Les ACE étant appliqués selon une méthode de première correspondance, l'ordre
dans lequel ils apparaissent dans l' A CL est important. Les ACE sont traités de
manière séquentielle, en commençant par le premier.
Les ACL peuvent être utilisées pour la sécurité, par exemple en autorisant ou en
refusant certains flux de trafic, ainsi que pour la classification et la hiérarchisation
du trafic en mode avancé de QoS.
Un port peut être sécurisé avec des ACL ou configuré avec une stratégie de QoS
avancée ; il n'est toutefois pas possible d'employer ces deux méthodes.
Il ne peut y avoir qu'une seul ACL par port, à une exception près : il est possible
d'associer à la fois une ACL basée sur IP et une ACL basée sur IPv6 à un port
unique. Pour associer plusieurs ACL à un port, vous devez utiliser une stratégie
comportant un ou plusieurs mappages de classe (class-map) (voir Configuration
d'une table de stratégies en mode avancé de QoS). Les types suivants d' A CL
peuvent être définis (selon la partie de l'en-tête de la trame qui est examinée) :
• ACL MAC : examine les champs de niveau 2 uniquement, comme décrit dans
la section Définition d'ACL basées sur MAC
• ACL IP : examine le niveau 3 de trames IP, comme décrit dans la section ACL
basées sur IPv4
• ACL IPv6 : examine le niveau 3 de trames IPv4, comme décrit dans la
Définition d' A CL basées sur IPv6
section
Si une trame correspond au filtre d'une ACL, elle est définie en tant que flux
portant le nom de cette ACL. En mode avancé de QoS, il est possible de faire
référence à ces trames en utilisant ce nom de flux et la QoS peut être appliquée à
ces dernières (voir Mode de QoS avancé).
17
250