Académique Documents
Professionnel Documents
Culture Documents
(*<?*;B!+.!G@B.!B,=!-.B!%NE!
(*<?*;B!+.!G@B.!B,=!-.B!%NE!0!
K">3439384&:0#&?3#90#&:0&58492G?0&:;655M#&&
!
Les listes de contrle daccs sont des listes de conditions qui sont appliques au trafic
circulant via une interface de routeur. Ces listes indiquent au routeur les types de paquets
accepter ou rejeter.
Certaines conditions dans une ACL sont des adresses source et de destination, des
protocoles et des numros de port de couche suprieure.
!
! Grer le trafic + scuriser laccs dun rseau en entre comme en sortie.
!
! Des ACL peuvent tre cres pour tous les protocoles routs, tels quIP et IPX.
! Une ACL spare doit tre cre pour chaque direction : une pour le trafic entrant et une
pour le trafic sortant.
Exemple : Si le routeur a deux interfaces configures pour IP, AppleTalk et IPX, 12 listes
daccs distinctes sont ncessaires : une liste pour chaque protocole, fois deux pour la
direction (entre et sortie), fois deux pour le nombre d'interfaces.
Les principales raisons pour crer des listes de contrle daccs :
92
Dterminer le type de trafic qui sera achemin ou bloqu au niveau des interfaces de
routeur. (autoriser lacheminement des messages lectroniques et de bloquer tout le
trafic via Telnet).
Autoriser un administrateur contrler les zones auxquelles un client peut accder sur
un rseau.
U845938440%049&:0#&?3#90#&:0&58492G?0&:;655M#&&
Lordre des instructions ACL est important. Cisco IOS teste le paquet par rapport
chaque instruction de condition en partant du dbut de la liste jusqu la fin.
Lorsquune condition est satisfaite dans la liste, le paquet est accept ou rejet et les
autres instructions ne sont pas vrifies.
Remarque :
Si un paquet ne correspond aucune instruction dans lACL, le paquet est rejet. Ceci est le rsultat de
93
,2"69384&:0&?3#90#&:0&58492G?0&:;655M#&
Il existe diffrents types de listes de contrle daccs : standard, tendues, IPX et AppleTalk.
Sur un routeur, vous devez identifier chaque liste en lui attribuant un numro unique.
@--!((0
--!((0%5(. ! Pour crer et paramtrer les conditions dune ACL.
@--!((0
--!((0;+*<'&!
;+*<'& Pour assigner une ACL linterface qui convient
Router(config)##--!((
#--!((00%5(. {n ACL} {permit | deny} {conditions}
#--!((
{n ACL} ! indique le type dACL
{permit | deny} ! accepter ou refuser
{conditions} ! liste des conditions de test
Router(config-if)#{protocole}#--!((
#--!((00;+*<' {n ACL} {in | out}
#--!((
{in | out} ! indique sil sagit dun trafic entrant ou sortant dun routeur
Remarque : Une liste de contrle daccs contenant des instructions numrotes ne peut pas
tre modifie. Elle doit tre supprime laide des instructions de lACL en utilisant la
commande "*&#--!((
"*&#--!((00%5(. {n ACL} pour tre ensuite recre.
Exemple :
Rgles doivent tre respectes lors de la cration et de lapplication des listes daccs :
!G?0&:$&%6#J$0&="4"23J$0&
Un masque gnrique est une quantit de 32 bits diviss en quatre octets.
Les masques gnriques utilisent les uns et les zros binaires pour filtrer des adresses
IP individuelles ou de groupes pour autoriser ou refuser un accs des ressources l'aide
d'une adresse IP prcise. Le (0) implique que la valeur soit compare (correspondance parfaite
exige), tandis que le (1) implique de bloquer la comparaison (correspondance exacte non
exige).
Deux mots-cls spciaux sont utiliss dans les listes de contrle daccs : #"? et 3*(..
@"? remplace 0.0.0.0 dans ladresse IP et 255.255.255.255 dans le masque gnrique. Cette
option tablit une correspondance avec toute adresse avec laquelle elle est compare.
U*(. remplace le masque 0.0.0.0. Ce masque ncessite une correspondance parfaite entre
tous les bits de ladresse ACL et ceux de ladresse du paquet. Avec cette option, une seule
adresse concorde.
95
: 10101100.00010000.00000000.00000000
: 00000000.00000000.xxxxxxxx.xxxxxxxx
: 10101100.00010000.xxxxxxxx.xxxxxxxx
@ IP (172.17.1.1)
Masque gnrique (0.0.255.255)
Valeur de correspondance 2
: 10101100.00010001.00000001.00000001
: 00000000.00000000.xxxxxxxx.xxxxxxxx
: 10101100.00010001.xxxxxxxx.xxxxxxxx
P"23>3569384&:0#&?3#90#&:0&58492G?0&:;655M#&
23*)&5'&5".!+6#-! ! affiche les informations relatives linterface IP et indique si des listes
de contrle daccs sont configures.
23*)&#--!((0
23*)&#--!((0%5(.(
&
&
&
96
+<""5";00-*"65; ! permet galement dafficher les listes daccs dun routeur, ainsi
23*)& +<""5";
que les informations daffectation aux interfaces.
E?B<.B!+.!>*;<=X-.!+F@>>]B!`%NEa!
E?B<.B!+.!>*;<=X-.!+F@>>]B!`%NEa!
/3#90#&:0&58492G?0&:;655M#τ:62:&
Les listes daccs standard vrifient ladresse dorigine des paquets IP qui sont routs.
97
Exemples :
Remarque : Notez que la premire instruction ACL ne contient aucun masque gnrique.
Dans le cas o aucune liste napparat, le masque par dfaut (0.0.0.0) est utilis.
/3#90#&:0&58492G?0&:;655M#&"904:$0#&
! Elles fournissent une plus grande gamme de contrle.
! Elles vrifient les adresses dorigine et de destination du paquet, mais peuvent aussi
vrifier les protocoles et les numros de port.
Exemple : Une liste de contrle daccs tendue peut autoriser le trafic de messagerie issu de
linterface Fa0/0 vers des destinations S0/0 donnes tout en refusant des transferts de fichiers
et des navigations sur le Web.
! Pour une mme liste de contrle daccs, plusieurs instructions peuvent tre configures.
(Vous pouvez dfinir autant dinstructions que vous le souhaitez, la seule limite tant la
mmoire disponible sur le routeur).
Syntaxe complte de la commande ACL tendue :
Oprateurs :
eq = gale
gt = suprieur
Exemples :
&
98
/3#90#&:0&58492G?0&:;655M#&48%%"0#&
Les listes de contrle daccs nommes IP ont t introduites (version 11.2), afin
dattribuer des noms aux listes daccs standard et tendues la place des numros.
Avantages :
Identifier de manire intuitive une liste daccs laide dun nom alphanumrique.
LIOS ne limite pas le nombre dACL nommes qui peuvent tre configures.
Les ACL nommes permettent de modifier des listes de contrle daccs sans avoir
les supprimer, puis les reconfigurer.
Remarque : Un mme nom ne peut pas tre utilis pour plusieurs listes de contrle daccs.
Syntaxe de la cration :
Q'&#--!((0
Q'&#--!((0%5(. {extended | standard} {nom de lACL}
Exemple :
O%1?650%049&:0#&?3#90#&:0&58492G?0&:;655M#&
Si le trafic est filtr, la liste de contrle daccs doit tre place lendroit o elle aura
le plus grand impact sur les performances.
La rgle gnrale est de placer les listes de contrle daccs tendues le plus prs
possible de la source du trafic refus.
&
99
Q620W>0$&
Un pare-feu est une structure situe entre lutilisateur et le monde extrieur afin de
protger le rseau interne des intrus.
Exemple :
!0#92359384&:0&?;655M#&6$&902%346?&I329$0?&
Par dfaut, une liste daccs tendue pour le trafic Telnet sortant nempche pas le
routeur de lancer des sessions Telnet.
Lobjectif de laccs limit au terminal virtuel est daugmenter la scurit du rseau.
100
Lors du contrle de laccs une interface, un nom ou un numro peut tre utilis.
Seules les listes daccs numrotes peuvent tre appliques des lignes virtuelles.
Dfinissez des restrictions identiques sur toutes les lignes de terminal virtuel.
101