Aller au contenu principal

Configurer les listes de contrôle d'accès (ACL)

  • Une liste de contrôle d'accès (ACL) est un ensemble de règles appliquées à un VLAN pour contrôler le trafic entrant et sortant. Elle est utilisée pour autoriser ou refuser des paquets en fonction de critères tels que les adresses IP, les numéros de port et les protocoles, contribuant ainsi à renforcer la sécurité du réseau.
  • Le trafic entrant ou sortant d'un VLAN auquel un profil de filtre de trafic ACL est appliqué sera autorisé ou refusé en fonction du jeu de règles configuré.
  • Les règles ACL peuvent être configurées pour le trafic IPv4 et IPv6.

Chaque paquet est vérifié par rapport à la liste ACL de haut en bas :

  • Évaluation des règles : en commençant par la première règle, les attributs du paquet sont comparés aux critères de correspondance.
  • Autoriser ou refuser : si le paquet correspond à une règle, l'action spécifiée (autoriser ou refuser) est appliquée et le processus s'arrête.
  • Passer à la règle suivante : si le paquet ne correspond pas, il passe à la règle suivante dans la liste.
  • Règle par défaut : si aucune règle ne correspond, l'accès du paquet est implicitement refusé par défaut.

Configuration

Créer un profil de filtre de trafic ACL

  1. Sous Settings, cliquez sur ACL traffic filter profile puis cliquez sur (+)
  2. Sous Label, saisissez un nom pour le profil
  3. Les règles spécifient maintenant les paquets IP qui doivent être contrôlés
  4. Si nécessaire, cliquez sur la règle par défaut et modifiez l'action par défaut (par défaut : deny)
  5. Ajoutez une nouvelle règle en cliquant sur + Rule, puis saisissez la description et l'action de la règle.
  6. Sélectionnez la version IP (IPv4 ou IPv6).
  7. Ajoutez un nouveau critère de correspondance avec les attributs suivants :
    • Source prefix : saisissez une adresse IPv4 ou IPv6 et le préfixe. Laissez vide pour Any.
    • Destination prefix : saisissez une adresse IPv4 ou IPv6 et le préfixe. Laissez vide pour Any.
    • Protocol : choisissez le protocole. Pour TCP et UDP, les numéros de port source et destination peuvent être spécifiés.
    • DSCP : saisissez la valeur DSCP sous forme de nombre décimal. Laissez vide pour Any.
    • Source Port : saisissez la valeur du port source. Laissez vide pour Any.
    • Destination Port : saisissez la valeur du port de destination. Laissez vide pour Any.
    • TCP Established : autorise le trafic TCP uniquement s'il fait partie d'une connexion déjà établie (flag ACK ou RST défini).
  8. Si nécessaire, cliquez sur + Match Criteria et ajoutez d'autres critères de correspondance.
  9. Si nécessaire, cliquez sur + Rule et ajoutez d'autres règles. Veuillez noter l'ordre des règles. La première règle correspondante est appliquée.
  10. Enregistrez les entrées
remarque

Les ACL sont sans état et évaluent chaque paquet séparément, uniquement en fonction des adresses IP et des ports. Pour le trafic TCP, les ACL doivent également autoriser explicitement le chemin de retour.

Les règles ACL IPv6 ne sont effectives que si IPv6 est activé sur le VLAN et l'Access VPN correspondants. Pour plus d'informations, consultez :

Appliquer un profil de filtre de trafic ACL

  1. Sous Location > VLANs, ouvrez le VLAN où l'ACL doit être appliquée.
  2. Activez IPv4 ACL, IPv6 ACL, ou les deux selon le filtrage de trafic requis.
  3. Dans le menu déroulant pour le trafic entrant, choisissez le profil de filtre de trafic ACL pour la direction d'entrée (ingress).
  4. Dans le menu déroulant pour le trafic sortant, choisissez le profil de filtre de trafic ACL pour la direction de sortie (egress).
  5. Soumettez la commande de configuration
remarque

Lors de la configuration des ACL sur un VLAN, il est important de considérer la directionnalité du point de vue de l'interface réseau du CPE. Voici comment interpréter les directions de trafic :

  • Direction d'entrée (Ingress) : il s'agit du trafic entrant dans le CPE depuis le VLAN. Essentiellement, cela représente les données circulant d'un client LAN vers le CPE.
  • Direction de sortie (Egress) : il s'agit du trafic quittant le CPE vers le VLAN. Cela concerne les données se déplaçant depuis l'interface du CPE vers le VLAN.
danger

La modification d'un profil de filtre de trafic ACL lié à un VLAN désactivera temporairement l'ACL, entraînant une interruption du transfert de trafic pendant le traitement de la commande. Cela peut avoir un impact significatif sur les opérations réseau du site.