Je dois mettre en place une ACL pour protéger deux LAN :

R1(config)# ip access-list extended ACL_Fingerinthenet_01
R1(config-ext-nacl)# remark ************ NETWORK 1 **********
R1(config-ext-nacl)# permit ip 128.168.0.0 0.0.0.255 www.google.fr
R1(config-ext-nacl)# permit ip 128.168.0.0 0.0.0.255 www.fingerinthenet.com
R1(config-ext-nacl)# permit ip 128.168.0.0 0.0.0.255 www.facebook.com
R1(config-ext-nacl)# remark ************ NETWORK 2 **********
R1(config-ext-nacl)# permit ip 192.168.0.0 0.0.0.255 www.google.fr
R1(config-ext-nacl)# permit ip 192.168.0.0 0.0.0.255 www.fingerinthenet.com
R1(config-ext-nacl)# permit ip 192.168.0.0 0.0.0.255 www.facebook.com
R1(config-ext-nacl)# remark ***************** DENY **************
R1(config-ext-nacl)# deny ip any any log

Comment faire pour raccourcir cette ACL en gardant le même niveau de sécurité ? En jouant sur le wildcard mask !

Comment ?

Question à se poser : Quelle est la différence avec ses deux LAN :

• 1er octet = Le Bit numéro 2 est différent.
• 2e octet = IDEM.
• 3e octet = IDEM.
• 4e octet = /24 donc c’est notre partie client.

Notre but est donc d’ignorer le bit 2 du premier octet et tous les bits du dernier octet.

Nous en concluons donc le Wildcard  64.0.0.255.

La règle de flux possédant le réseau 128.168.0.0 et le wildcard 64.0.0.255 va autoriser les flux suivant :

– de 128.128.0.0 a 128.128.0.255.
– de 192.128.0.0 a 192.128.0.255.

Nous pouvons donc en conclure l’ACL suivante :

R1(config)# ip access-list extended ACL_Fingerinthenet_02
R1(config-ext-nacl)# remark ************ NETWORK 1 ET 2 **********
R1(config-ext-nacl)# permit ip 128.168.0.0 64.0.0.255 www.google.fr
R1(config-ext-nacl)# permit ip 128.168.0.0 64.0.0.255 www.fingerinthenet.com
R1(config-ext-nacl)# permit ip 128.168.0.0 64.0.0.255 www.facebook.com
R1(config-ext-nacl)# remark ***************** DENY **************
R1(config-ext-nacl)# deny ip any any log

les access-lists ACL_Fingerinthenet_01 et ACL_Fingerinthenet_02 vont matcher EXACTEMENT LE MÊME FLUX !!!!!