TP CISCO ACL

SEN

Filtrage des paquets : configuration des ACL sur un routeur Cisco

1

Gnralits

Ce cours ainsi que les Tp qui suivront vont vous permettre de manipuler les ACL des routeurs
Cisco. Les ACL (en anglais Acces Control Lists ) ou en Franais Listes de Contrle dAccs ,
vous permettent dtablir des rgles de filtrage sur les routeurs, pour rgler le trafic des
datagrammes en transit.
Les ACL permettent de mettre en place un filtrage dit statique des datagrammes, c'est-dire dinstaurer un certain nombre de rgles appliquer sur les champs concerns des en-ttes
des divers protocoles.

Fonctionnement des ACL

2.1 Gnralits
Quelque soit le type dACL dont il sagit ; leur utilisation se fait toujours selon les mmes
principes gnraux :
Premire tape : En mode config , on cre une ACL, c'est--dire une liste de rgles.
Chaque rgle est du type (condition, action). Les rgles sont interprtes
squentiellement. Si la condition analyse ne correspond pas, on passe la rgle suivante.
Si la condition correspond, laction correspondante est effectue, et le parcours de lACL
est interrompu. Par dfaut, toutes les ACL considrent la rgle (VRAI, REJET) si aucune
des rgles prcdentes na t prise en compte, c'est--dire que tout datagramme non
explicitement accept par une rgle pralable sera rejet.
Deuxime tape : En mode config-int , on applique une ACL en entre (in)
(respectivement en sortie(out)), c'est--dire que lon dcide dactiver la liste de rgles
correspondante tous les datagrammes entrant dans le routeur (respectivement
sortant du routeur) par linterface considre. En consquence, sur un routeur, il peut
y avoir au maximum 2 ACLs (IP) par interface.

1/10

TP CISCO ACL

SEN

Lorsque lon construit une ACL, les rgles sont ajoutes la fin de la liste dans lordre dans lequel
on les saisit. On ne peut pas insrer de rgle dans une ACL, ni mme en supprimer le seul moyen
reste deffacer compltement lACL et de recommencer ! En situation relle, pour saisir une ACL
assez longue, il peut tre judicieux de crer un fichier texte et de le faire prendre en compte
par la suite comme un fichier de capture de configuration de routeur

2.2 Les ACL standards

Les ACL standards noffrent pas normment de possibilits, elles permettent simplement de
crer des rgles dont les conditions ne prennent en compte que les adresses IP sources des
datagrammes IP analyss. Cest assez contraignant, mais cela permet dj un certain nombre de
manipulations intressantes.
La commande pour crer une ACL standard (ou ajouter une rgle une ACL existante) est la
suivante :
access-list <#ACL> {permit/deny} <@IP source> <masque>
Le numro de liste (#ACL) doit tre compris entre 1 et 99 pour une ACL standard (tapez un ?
aprs la commande access-list pour visualiser toutes les fourchettes possibles en fonctions
des types dACL).
Permit ou deny indique laction prendre (deux seules actions sont possibles : autoris ou
refus)
LIP source + masque indique la condition.

2/10

TP CISCO ACL

SEN

2.3 Les ACL tendues

La syntaxe un peu plus complte des ACL tendues, permet, selon le mme principe que
prcdemment, de crer des rgles de filtrage plus prcises, en utilisant des conditions
applicables sur dautres champs des en-ttes des divers protocoles.
La commande pour crer une ACL (ou ajouter une rgle une ACL existante) est la suivante :
access-list <#ACL> {permit/deny} <protocole> <@IPsource> <masque> [port] <@IPdest>
<masque> [port] [established]
Le numro de liste (#ACL) doit tre compris entre 100 et 199 pour une ACL tendue.
Permit ou deny indique laction prendre (deux seules actions sont possibles : autoris ou
refus)
protocole indique le protocole concern par le filtre (tapez un ? pour avoir la liste des
protocoles disponibles) Les protocoles indiqus peuvent tre de diffrents niveaux jusquau
niveau transport (ex : TCP ou UDP, mais galement IP ou ICMP). La distinction sur les protocoles
applicatifs (http, FTP ) se fera sur le champ port .
IP et masques suivent les mmes rgles que pour les ACL standards,
port permet dindiquer un numro de port (ou son nom symbolique si il est connu http, FTP,
Telnet, ). Notez quun port doit tre indiqu prcd dun oprateur (ex : eq http ou eq
80 ou lt 1024 ) avec eq (pour equal ), lt (pour lower than ) ou gt (pour
greater than),
established indique quil sagit dune communication TCP dj tablie (et donc pas dune
demande de connexion avec le bit syn positionn).

2.4 Remarques essentielles sur la syntaxe des ACL

le masque est compltement invers par rapport la notion de masque que vous
connaissez jusquici !!! (On parle de masque gnrique) ex : 193.55.221.0 avec le masque
0.0.0.255 dsigne toute adresse source du type 193.55.221.X merci Cisco !

3/10

TP CISCO ACL

SEN

Abrviations dans une rgle :

0.0.0.0
255.255.255.255 qui signifie tout quipement peut tre remplac par le
mot cl any .
W.X.Y.Z
0.0.0.0 qui signifie lquipement W.X.Y.Z peut tre remplac par host
W.X.Y.Z
Par dfaut, la rgle deny any est prise en compte par toutes les ACL. En dautre
termes, le simple fait de crer une ACL vide et de lappliquer une interface interdit le
passage a tout datagramme. Pour changer de politique par dfaut dune ACL, il suffit de
mettre la rgle permit any (ou permit ip any any pour les ACL tendues) en fin de
liste. Cette rgle sera prise en compte si aucune des prcdentes ne lest.
En mode enabled la commande show access-list <#ACL> vous permet de visualiser
(et donc de capturer le cas chant ) le contenu de lACL dont vous donnez le numro.

Exercice complter le masque gnrique

Complter le tableau ci-dessous :

4/10

TP CISCO ACL

SEN

2.5 Activation dune ACL

Pour activer une ACL sur une interface, il faut :

Se positionner dans le mode de configuration de linterface, grce la commande
interface <nom de linterface>
Saisir la commande : ip access-group <#ACL> < in | out> .
Noubliez pas de vous considrer lintrieur du routeur , pour choisir entre le mot cl
in et le mot cl out

2.6 Dsactivation dune ACL

Pour dsactiver une ACL, (comme toujours selon la logique Cisco), les manipulations sont les
mmes que pour lactiver, en utilisant le mot cl no devant la commande

2.7 Utilisation des ACL standards et tendues dans la vraie vie

Dans la pratique, tant donn que les ACL standards ne peuvent prendre en compte que les
adresse IP sources, il est logique quelles soient souvent utilises pour filtrer les datagrammes
proches de la destination finale, sur un passage oblig pour joindre le destinataire final.

5/10

TP CISCO ACL

SEN

En revanche, les ACL tendues prenant aussi en compte les adresses destination, peuvent tre
utilises au contraire sur les routeurs les plus proches des quipements sources concerns, ceci
afin dviter du trafic superflu sur le rseau.

Exercices :
activit packet tracer sur les ACL standarts
activit packet tracer planification, configuration et verification des ACL standart,
tendues et nommes.

6/10

TP CISCO ACL
3

SEN

MANIPULATIONS

3.1 Mise en place prliminaire

Cblez correctement les lments de votre rseau en respectant larchitecture propose

(cf tp 6 routeurs) Activer le protocole de routage RIP version 2.
Configurez les PC en consquence (@IP, masque, passerelle, et DNS : 192.168.1.3 sur
chaque machine), sous Windows pour le PC reli au port console (PC de gauche), sous Linux
pour lautre (PC de droite).
Vrifier les accs toutes les machines du rseau.

3.2 ACL Standards

Pour tout le TP il est demand de conserver la politique all open par dfaut, c'est--dire de
conserver la politique du tout autoriser et de ninterdire que le strict ncessaire. Cest loin
dtre la plus sre, mais cest celle qui permettra aux autres binmes de travailler,
Depuis un terminal sur chacune des machines interne (PC sous Windows et sous Linux)
effectuez un PING sur sv1mrim , Que constatez vous ?
Cette machine est en mesure de rpondre au moins aux services , http (port 80), ftp (port
21, entre autres), dns (port 53) et icmp bien sr. Tester
Crez une ACL standard permettant dinterdire tout accs du rseau mrim vos PC
mais pas internet. Activez cette ACL sur les datagrammes sortant sur linterface du
LAN. Vrifiez que le filtre fonctionne et que vous avez toujours accs Internet.
Remarque : attention aux changes DNS.
Quelle rgle auriez vous crit maintenant pour interdire laccs au rseau mrim tous les
PCs de votre LAN SAUF le PC Linux (il ny a pas de diffrence pour vous tant donn que
vous navez que 2 pc sur votre LAN, mais il en aurait eu une si vous en aviez eu 3 !). Crez
une autre ACL pour tester cette rgle.
Faites valider les 2 ACL prcdentes par votre enseignant.

3.3 ACL Etendues

Crez une ACL tendue pour interdire au PC Windows de faire des pings sur le rseau
de mrim.
Faites en sorte dinterdire tout trafic UDP destination de sv1mrim depuis votre PC
Linux. Trouvez une manipulation pour valider ce filtre. Trouvez une manipulation pour
vrifier que le trafic est toujours autoris sur une autre machine que sv1mrim (PC16 par
exemple).
Interdisez le trafic web tout votre rseau local.
Allgez les restrictions en permettant uniquement votre PC Windows daccder
uniquement au site web de sv1mrim.
Mettez en place un filtre autorisant votre PC Linux faire un telnet sur sv1mrim, mais pas
sv1mrim de faire un telnet sur votre PC Linux. Faites valider par votre enseignant.
Enregistrez les configurations.

7/10

TP CISCO ACL

SEN

Consignes activit Packet tracer planification, configuration et verification des ACL

standart, tendues et nommes.
Objectifs

Configurer une liste daccs VTY pour assurer la scurit de laccs distance
Crer des listes de contrle daccs standard, tendues et nommes pour amliorer la
scurit du rseau

Contexte / Prparation
Latelier dentretien du rseau ncessite un accs un routeur install rcemment Londres.
Vous devez configurer une liste de contrle daccs pour lui autoriser un accs Telnet au routeur
et refuser laccs tous les autres. Une liste daccs supplmentaire doit tre cre sur les
routeurs London et DC afin de remplir les conditions requises ci-aprs.
Autoriser laccs de tous les clients London au serveur London et bloquer tous les autres
utilisateurs.
Autoriser laccs de tous les clients au serveur DC et bloquer tous les autres utilisateurs.
Mot de passe actif : admin.
tape 1 : cration de liste daccs pour limiter laccs au VTY
a- Slection du routeur London.
b- Configurez les lignes vty 0 4 pour la connexion. Le mot de passe doit tre cisco123.
c- Crez une liste daccs standard permettant un accs Telnet tous les clients du sous-rseau
de maintenance.
1- Numro de la liste daccs : 10.
2- Sous-rseau de maintenance : 172.16.50.0 255.255.255.0.
d- Appliquez la liste daccs aux lignes vty 0 4.
1- Entrez dans le mode de configuration.
2- Entrez line vty 0 4
3- Entrez access-class 10 in
e- Enregistrez les configurations.

8/10

TP CISCO ACL

SEN

tape 2 : cration de liste daccs tendue sur le routeur DC

Planification et cration de listes daccs numrotes sur le routeur DC suivant les conditions
requises ci-aprs.

a- Crer une liste daccs sortante numrote 150 et lappliquer linterface Fast Ethernet 0/1.1
b- Crer une liste daccs sortant numrote 160 et lappliquer linterface Fast Ethernet 0/1.2
tape 3 : cration dune liste daccs nomme sur le routeur London
a- Planification et cration dune liste daccs nomme sur le routeur London suivant les
conditions requises ci-aprs. Nommez la liste daccs ICMP.

b-Appliquez la liste daccs linterface srie comme une liste daccs entrant.
c- Enregistrez les configurations.
tape 4 : vrification des listes daccs configures
a- Vrification des restrictions applicables aux vty placs sur le routeur London.
1- Slectionnez le PC Maint et le Telnet du routeur London.
2- Slectionnez le PC2 et le Telnet du routeur London.
Le Telnet du PC Maint devrait aboutir contrairement celui du PC2.
b- Vrifiez la liste daccs tendue du routeur DC .
1- Slectionnez le PC2 et recherchez le serveur DC (172.16.30.100).
2- Envoyez une requte ping au serveur DC (172.16.30.100).
3- Slectionnez le PC1 et recherchez le serveur London (172.16.20.100).
4-Envoyez une requte ping au serveur London (172.16.30.100).
La navigation aboutit contrairement la commande ping.

9/10

TP CISCO ACL

c- Vrifiez la liste daccs nomme du routeur London .

SEN

1- Slectionnez le PC2 et envoyez une requte ping au PC1.

2- Naviguez du PC2 au Server0 (172.16.100.250).
La commande ping aboutit contrairement la navigation qui dpasse son dlai dattente.
d- Cliquez sur le bouton Check Results
Remarques gnrales :

que signifie le terme out en fin de ligne dun nonc dune commande ip access-group ?
Quelle est la diffrence entre les commandes dajout dune liste de contrle daccs sur
une interface spcifique et le VTY ?

Quelle est la diffrence entre les commandes dajout dune liste de contrle daccs sur une
interface spcifique et le VTY ?

10/10