Académique Documents
Professionnel Documents
Culture Documents
Filtrage des paquets : configuration des ACL sur un routeur Cisco 1 Gnralits
Ce cours ainsi que les Tp qui suivront vont vous permettre de manipuler les ACL des routeurs Cisco. Les ACL (en anglais Acces Control Lists ) ou en Franais Listes de Contrle dAccs , vous permettent dtablir des rgles de filtrage sur les routeurs, pour rgler le trafic des datagrammes en transit. Les ACL permettent de mettre en place un filtrage dit statique des datagrammes, c'est-dire dinstaurer un certain nombre de rgles appliquer sur les champs concerns des en-ttes des divers protocoles.
2.1 Gnralits
Quelque soit le type dACL dont il sagit ; leur utilisation se fait toujours selon les mmes principes gnraux : Premire tape : En mode config , on cre une ACL, c'est--dire une liste de rgles. Chaque rgle est du type (condition, action). Les rgles sont interprtes squentiellement. Si la condition analyse ne correspond pas, on passe la rgle suivante. Si la condition correspond, laction correspondante est effectue, et le parcours de lACL est interrompu. Par dfaut, toutes les ACL considrent la rgle (VRAI, REJET) si aucune des rgles prcdentes na t prise en compte, c'est--dire que tout datagramme non explicitement accept par une rgle pralable sera rejet. Deuxime tape : En mode config-int , on applique une ACL en entre (in) (respectivement en sortie(out)), c'est--dire que lon dcide dactiver la liste de rgles correspondante tous les datagrammes entrant dans le routeur (respectivement sortant du routeur) par linterface considre. En consquence, sur un routeur, il peut y avoir au maximum 2 ACLs (IP) par interface.
1/6
Lorsque lon construit une ACL, les rgles sont ajoutes la fin de la liste dans lordre dans lequel on les saisit. On ne peut pas insrer de rgle dans une ACL, ni mme en supprimer le seul moyen reste deffacer compltement lACL et de recommencer ! En situation relle, pour saisir une ACL assez longue, il peut tre judicieux de crer un fichier texte et de le faire prendre en compte par la suite comme un fichier de capture de configuration de routeur
2/6
3/6
Abrviations dans une rgle : 0.0.0.0 255.255.255.255 qui signifie tout quipement peut tre remplac par le mot cl any . W.X.Y.Z 0.0.0.0 qui signifie lquipement W.X.Y.Z peut tre remplac par host W.X.Y.Z Par dfaut, la rgle deny any est prise en compte par toutes les ACL. En dautre termes, le simple fait de crer une ACL vide et de lappliquer une interface interdit le passage a tout datagramme. Pour changer de politique par dfaut dune ACL, il suffit de mettre la rgle permit any (ou permit ip any any pour les ACL tendues) en fin de liste. Cette rgle sera prise en compte si aucune des prcdentes ne lest. En mode enabled la commande show access-list <#ACL> vous permet de visualiser (et donc de capturer le cas chant ) le contenu de lACL dont vous donnez le numro.
4/6
5/6
En revanche, les ACL tendues prenant aussi en compte les adresses destination, peuvent tre utilises au contraire sur les routeurs les plus proches des quipements sources concerns, ceci afin dviter du trafic superflu sur le rseau.
Exercices : activit packet tracer sur les ACL standarts activit packet tracer planification, configuration et verification des ACL standart, tendues et nommes.
6/6