j'aimrerais modifier des acl sur un routeur cisco mais j'y connais pas grand chose.
donc que dois je taper une fois en enable pour modifier mon acl?
 
merci

sur quel routeur ou switch N3?
Version d'IOS?
ACL standard, étendue?

 
en lisant la doc ?  

http://www.cisco.com/pcgi-bin/sear [...] =cisco.com
 
ça c'est du lien!!!  

En gros tu crée ton access-lis dans un fichier texte, tu te met un config et tu la crée avec un no 1-99 = normale 100-199 = étendue, ensuite il faut encore l'applique en in ou out sur l'interface que tu veux...

 
merci c'est donc bien  par fichier texte et pas par commande...
c'est pour des cisco serie 800 (801, 805 et 806)
 
la doc ben oui mais c'est gros et puis c'etait une question rapide pas le temps de lire les centaines de pages de la (les) doc cisco.
 
la version de ios je ne l'ai pas en tete et j'ai pas de routeur sous les yeux a cette heure
une 12 quelquechose je crois
 
je vous ai dit je suis vraiment un nul en routeur
en tout cas merci de votre aide, je lis le lien

acl manager
du cisco a la windows et ben on aura tout vu  
si les routeur devinne configurable sans ligne de commande c'est plus facile pour les nul comme moi

dis ce que tu veux faire, et on te le fais.

le plus simple aurait ete de vous mettre un listing  
faut que je pense a en prendre un demain.
 
en gros j'ai a l'heure actuel une access list qui m'authorise une plage d'adresse a sortir sur internet.
mais j'ai un proxy sur mon reseau donc je me disais qu'il serait plus intelligent de n'authoriser que le proxy a sortir.
 
donc je voulais modifier l'acces list presente pour faire cette modif.
 
dans le mem temps je vouais en apprendre un peu plus sur la config des access list car il peut m'etre utilise pour des raison de maintenance de configurer mon routeur pour ouvrir un port en acces de l'exterieur (nternet ) vers mon reseua local mais ceci uniquement de temps en temps. donc il me faudrait savoir le faire pour pourvoir le modifier le jour j et virer la conf le jour j+1
 
pour vous dire a quel point je suis nul j'ai pas bien compris comment sauvegarder ma conf (avec un tftp je crois) et la repusher sur le routeur pour remettre tout bien d'un coup.
 
donc si qq a un peu de temps a perdre pour m'instruire (j'ai vu des tp d'ecole qui parlait de ca mais c'etait les exo et pas le cours donc pas les reponses )je veux bien lire les docs cisco mais c'est enorme et je veux qqchose de basique (un resume quoi)  
 
par avance merci

ah ben j'avais oublie ce site que j'avais dit que je lirais
http://www.labo-cisco.com/cours_cn [...] 2&offset=3
bon ben je crois que je vais trouver les rep a mes questions
 
plus qu'a maniper ca

ok.
 
Tout d'abord, il faut differencier deux choses : la running-config (la configuration qui tourne quand ton routeur est allumé), et que tu peux modifier en ligne de commande (en tapant conf terminal), et la startup-config (la configuration sur laquelle boot le cisco). Lorsque tu modifie ta running-config, et que tu veux pouvoir booter dessus, tu tapes copy running-config startup-config (la fonction copy s'utilises comme ça : copy <source> <destination> ).
 
Tu peux alors :
 * sauvegarder ta conf en cours vers un serveur tftp : copy run (abreviation de running-config) tftp. Tu rentres alors dans un menu qui te demandes l'addresse ip du serveur tftp, le nom sous que tu veux donner a ta sauvegarde, etc...
 * sauvegarder ta conf de demarrage vers un serveur tftp : copy start tftp, même methode qu'avant
 * reprendre une ancienne sauvegarde depuis un serveur tftp : copy tftp start : même technique, mais tu dois rebooter derriere.
 * copier une conf depuis en serveur tftp vers la running-config, mais c'est plus dangereux : copy tftp run.
 
 
Les access-list fonctionne ainsi : tu vas definir une serie de regles que tu vas appliquer à quelques choses (par exemple, une interface, mais cela pourrait etre un protocole de routage (rip, bgp, ospf...) ou autres choses).  
Il y a deux types d'acl : les standards et les etendues.  
 
Les standards sont definies par un nombre de 1 à 99. Elles ne controlent que l'adresse source et l'adresse destination.
 
Les etendues sont définies par un numéro de 100 à 199 (pas sur du 199...). Elles peuvent controler, en plus des addresses sources et destinations, les ports, le protocole de transport, l'etat d'une connexion.
 
Tu veux autoriser les flux de ton proxy vers internet. Il te faut deux access-list : une pour le flux entrant et une pour le flux sortant. tu peux faire :  
conf t (passe en mode de configuration via un terminal)
access-list 1 permit host ip_proxy any (j'autorise les flux depuis mon proxy vers n'importe ou, host signifie que l'adresse ip correspond à un seul machine et pas à un reseau (masque  à 255.255.255.255))
access-list 2 permit any host ip_proxy (j'autorise les flux depuis n'import ou vers mon proxy).
 
Apres, il te faut appliquer ces access-list en entrée ou en sortie de ton interface wan. Si tu es en adsl, tu doit avoir une interface ATM, ou peut-etre un dialer (si tu as un dialer, tu appliques uniquement sur le dialer) :
conf t
int atm0 (passe sur l'interface atm0)
access-group 1 out (se refere à l'access-list 1, l'applique sur les flux sortant (out))
access-group 2 in (se refere à l'access-list 2, l'applique sur les flux enrants (in))
 
 
Tu peux mettre plusieurs lignes dans une même access-list. Par exemple, si tu veux autoriser deux proxy à avoir accés à internet :
access-list 1 permit host ip_proxy1 any
access-list 1 permit host ip_proxy2 any  
 
access-list 2 permit any host ip_proxy1
access-list 2 permit any host ip_proxy2
 
Si le paquet traité ne correspond pas à la premiere ligne de l'acl 1, le routeur passe à la deuxieme ligne de l'acl 1. A la fin de chaque access-list, il y a un deny any implicite pour rejeter tous les flux non autorisés.
 
 
Pour les acl etendues, le fonctionnement est le même, sauf qu'on controle plus de choses. La syntaaxe est :
 
access-list 101 (permit|deny) <protocol> <ip-source> <ip_destination> (e|le|...) <port>
 
protocol : tcp, udp, ip, ...
(e|le|...) : e=equals, le = less or equals, il doit y en avoir un pour au dessus mais j'ai un trou...
<port> le port autoriser pour l'adresse source : 25 pour smtp, 80 pour http, 110 pour pop, etc...
 
voila, il manque surement plus de trucs, mais bon il est tard...
 
 
 
 
 
 

SUPER MERCI d'avoir pris tout ce temps pour m'expliquer ca.
j'avais deja entendu parler de toute les conf mais quand on est devant c'est toujours LA commande du debut qu'il vous manque
 
merci beaucoup (en plus j'ai les deux cas adsl et numeris)
 
:jap::jap::jap::jap::jap::jap::jap: