Table des Matières
Publicité
Transmettre
l
Refuser
l
Refuser et désactiver le port
l
Les fonctions principales des ACL sont les suivantes :
En tant que mécanisme de sécurité, elles autorisent ou refusent l'accès aux paquets d'un groupe. Ce mécanisme est décrit dans la section sur la
l
sécurité du réseau.
En tant que mécanisme de classification des paquets dans des classes de trafic pour lesquelles différentes actions de gestion de CdS/QdS sont
l
réalisées.
Les ACL contiennent plusieurs règles et actions de classification. Un élément de contrôle d'accès (ACE) est composé d'une seule règle de classification et de
son action correspondante. Une seule ACL peut contenir plusieurs ACE.
L'ordre des ACE à l'intérieur d'une ACL est important, car ils sont appliqués selon la méthode dite de la première convenance (first-fit). Les ACE sont traités de
façon séquentielle en commençant par le premier. Lorsqu'un paquet correspond à une classification ACE, l'action ACE est effectuée et le traitement de l'ACL
s'arrête. Si plusieurs ACL doivent être traitées, l'action de rejet par défaut s'applique uniquement une fois que le traitement de toutes les ACL est terminé.
L'action de rejet par défaut requiert que l'utilisateur autorise de façon explicite l'ensemble du trafic, y compris le trafic de gestion tel que Telnet, HTTP ou SNMP,
destiné au routeur.
Il existe deux types d'ACL :
IP ACL (ACL IP)
S'applique uniquement aux paquets IP. Tous les champs de classification sont liés aux paquets IP.
l
MAC ACL (ACL MAC)
S'applique à tous les paquets, y compris aux paquets non IP. Les champs de classification se basent uniquement sur L2.
l
Il existe deux façons d'appliquer les ACL à une interface :
Policy (Réglementation) De cette façon, les ACL sont regroupées en une structure plus complexe appelée réglementation. La réglementation peut à
l
la fois contenir des règles ACL et des règles QdS. L'utilisateur peut appliquer la réglementation à une interface (reportez-vous à la section «Mode
avancé de la qualité de service»).
Simple
Dans sa forme simple, une ACL (MAC ou IP) est appliquée à une interface. Même lorsqu'une réglementation ne peut pas être appliquée à une
l
interface, il est possible de lui imposer des règles QdS de base pour classer les paquets dans des files d'attente de sortie (reportez-vous à la section
«Mode de base de qualité de service»).
Adressage aux files d'attente
Vous pouvez sélectionner un comportement Trust (Confiance) ou bien renseigner les champs du service de sortie :
VLAN Priority Tags (VPT) (Marques de priorité VLAN (VPT)) Les VPT sont adressées à des files d'attente en fonction de leur valeur. L'adressage aux
l
files d'attente peut être configuré par l'utilisateur, alors que l'adressage par défaut de la VPT à la file d'attente de sortie se fait de la façon suivante.
Lors de l'adressage par défaut de la VPT, la file d'attente 1 possède la priorité la plus basse, comme illustré dans le tableau suivant :
Tableau 10-1. Table d'adressage par défaut de la VPT
Valeur VPT Numéro de file d'attente
0
3
1
1
2
2
3
4
4
5
5
6
6
7
7
8
REMARQUE :
L'adressage de la VPT aux files d'attente de sortie est réalisé au niveau du système et peut être activé (enabled) ou désactivé (disabled)
sur chaque port.
802.1p Port-Based (802.1p en fonction du port)
l
par l'utilisateur sur chaque port. Une fois la VPT affectée, le paquet est traité comme s'il était arrivé avec cette marque. L'adressage de la VPT à la file
d'attente de sortie se fait en fonction des définitions 802.1p configurées par le même utilisateur.
Layer 3 Predefined Field (Champ prédéfini L3) L'utilisateur peut configurer le système de manière à pouvoir utiliser le DSCP IP du paquet entrant
l
Les paquets qui arrivent non marqués sont affectés à une VPT par défaut qui peut être configurée
Publicité
Table des Matières
