!

(*<?*;B!+.!G@B.!B,=!-.B!%NE!
(*<?*;B!+.!G@B.!B,=!-.B!%NE!0!
K">3439384&:0#&?3#90#&:0&58492G?0&:;655M#&&
!
Les listes de contrle daccs sont des listes de conditions qui sont appliques au trafic
circulant via une interface de routeur. Ces listes indiquent au routeur les types de paquets
accepter ou rejeter.
Certaines conditions dans une ACL sont des adresses source et de destination, des
protocoles et des numros de port de couche suprieure.

!
! Grer le trafic + scuriser laccs dun rseau en entre comme en sortie.

!
! Des ACL peuvent tre cres pour tous les protocoles routs, tels quIP et IPX.
! Une ACL spare doit tre cre pour chaque direction : une pour le trafic entrant et une
pour le trafic sortant.
Exemple : Si le routeur a deux interfaces configures pour IP, AppleTalk et IPX, 12 listes
daccs distinctes sont ncessaires : une liste pour chaque protocole, fois deux pour la
direction (entre et sortie), fois deux pour le nombre d'interfaces.
Les principales raisons pour crer des listes de contrle daccs :

Limiter le trafic rseau et accrotre les performances (limitant le trafic vido)

Contrler le flux de trafic. (limiter larrive des mises jour de routage)
Fournir un niveau de scurit daccs rseau de base. Les listes de contrle daccs
permettent un hte daccder une section du rseau tout en empchant un autre
hte davoir accs la mme section.

92

Dterminer le type de trafic qui sera achemin ou bloqu au niveau des interfaces de
routeur. (autoriser lacheminement des messages lectroniques et de bloquer tout le
trafic via Telnet).
Autoriser un administrateur contrler les zones auxquelles un client peut accder sur
un rseau.

U845938440%049&:0#&?3#90#&:0&58492G?0&:;655M#&&
Lordre des instructions ACL est important. Cisco IOS teste le paquet par rapport
chaque instruction de condition en partant du dbut de la liste jusqu la fin.
Lorsquune condition est satisfaite dans la liste, le paquet est accept ou rejet et les
autres instructions ne sont pas vrifies.

Remarque :

Si un paquet ne correspond aucune instruction dans lACL, le paquet est rejet. Ceci est le rsultat de

linstruction implicite ,!"?&#"? la fin de chaque ACL.

Processus de routage dans un routeur

! Vrifier la correspondance (@ MAC)
! Rechercher une ACL sur linterface dentre ! Vrifier ! accepter ou rejeter le paquet
! Dterminer linterface de destination (table de routage)
! Si le paquet est accept ! router le paquet vers linterface de partance.
! Vrifier lACL sur linterface de destination ! accepter ou rejeter le paquet
! Vrifier lautorisation du paquet.
! Encapsuler le paquet (en trame) et lEnvoi lunit suivante.

93

,2"69384&:0&?3#90#&:0&58492G?0&:;655M#&
Il existe diffrents types de listes de contrle daccs : standard, tendues, IPX et AppleTalk.
Sur un routeur, vous devez identifier chaque liste en lui attribuant un numro unique.

@--!((0
--!((0%5(. ! Pour crer et paramtrer les conditions dune ACL.
@--!((0
--!((0;+*<'&!
;+*<'& Pour assigner une ACL linterface qui convient
Router(config)##--!((
#--!((00%5(. {n ACL} {permit | deny} {conditions}
#--!((
{n ACL} ! indique le type dACL
{permit | deny} ! accepter ou refuser
{conditions} ! liste des conditions de test
Router(config-if)#{protocole}#--!((
#--!((00;+*<' {n ACL} {in | out}
#--!((
{in | out} ! indique sil sagit dun trafic entrant ou sortant dun routeur
Remarque : Une liste de contrle daccs contenant des instructions numrotes ne peut pas
tre modifie. Elle doit tre supprime laide des instructions de lACL en utilisant la
commande "*&#--!((
"*&#--!((00%5(. {n ACL} pour tre ensuite recre.
Exemple :

Rgles doivent tre respectes lors de la cration et de lapplication des listes daccs :

Une liste daccs par direction et par protocole.

Les listes daccs standard doivent tre appliques le plus prs possible de la destination.
Les listes daccs tendues doivent tre appliques le plus prs possible de la source.
94

Pour faire rfrence une interface dentre ou de sortie, placez-vous lintrieur du

routeur en regardant l'interface en question.
Les instructions sont traites dans lordre depuis le dbut de la liste jusqu la fin
jusqu ce quune correspondance soit trouve. Si aucune correspondance nest
dtecte, le paquet est refus.
Il existe un refus implicite ,!"?&#"? la fin de toutes les listes de contrle daccs.
Les htes spcifiques doivent tre rejets en premier, tandis que les groupes ou les
filtres gnraux viennent en dernier.
La condition de correspondance est examine en premier. Lacceptation ou le refus est
examin UNIQUEMENT si la condition est vraie.
Ne travaillez jamais avec une liste daccs qui est applique de manire active.
Utilisez un diteur de texte pour crer des commentaires indiquant la logique, puis
ajoutez les instructions correspondantes.
Il nest pas possible dajouter et de supprimer des lignes spcifiques dans des listes
daccs numrotes.
Une liste daccs IP envoie un message ICMP dhte inaccessible lmetteur du
paquet rejet et limine le paquet dans la corbeille prvue cet effet.
Soyez particulirement attentif lorsque vous supprimez une liste daccs (une
instruction deny any peut tre applique par dfaut linterface et tout le trafic peut
tre arrt).
Les filtres de sortie ne concernent pas le trafic gnr par le routeur local.

!G?0&:$&%6#J$0&="4"23J$0&
Un masque gnrique est une quantit de 32 bits diviss en quatre octets.
Les masques gnriques utilisent les uns et les zros binaires pour filtrer des adresses
IP individuelles ou de groupes pour autoriser ou refuser un accs des ressources l'aide
d'une adresse IP prcise. Le (0) implique que la valeur soit compare (correspondance parfaite
exige), tandis que le (1) implique de bloquer la comparaison (correspondance exacte non
exige).
Deux mots-cls spciaux sont utiliss dans les listes de contrle daccs : #"? et 3*(..
@"? remplace 0.0.0.0 dans ladresse IP et 255.255.255.255 dans le masque gnrique. Cette
option tablit une correspondance avec toute adresse avec laquelle elle est compare.
U*(. remplace le masque 0.0.0.0. Ce masque ncessite une correspondance parfaite entre
tous les bits de ladresse ACL et ceux de ladresse du paquet. Avec cette option, une seule
adresse concorde.

95

Remarque : Le masque de sous-rseaux et le masque gnrique reprsentent deux choses

diffrentes mme s'ils sont tous les deux appliqus des adresses IP
Exemple de calcul des masques gnriques et prise des dcisions :
LACL configure ! Access-list 1 permit 172.16.0.0 0.0.255.255
! Supposons quun paquet entrant de la source 172.17.1.1
@ IP (172.16.0.0)
Masque gnrique (0.0.255.255)
Valeur de correspondance 1

: 10101100.00010000.00000000.00000000
: 00000000.00000000.xxxxxxxx.xxxxxxxx
: 10101100.00010000.xxxxxxxx.xxxxxxxx

@ IP (172.17.1.1)
Masque gnrique (0.0.255.255)
Valeur de correspondance 2

: 10101100.00010001.00000001.00000001
: 00000000.00000000.xxxxxxxx.xxxxxxxx
: 10101100.00010001.xxxxxxxx.xxxxxxxx

" Pas de correspondance ! paquet refus.

P"23>3569384&:0#&?3#90#&:0&58492G?0&:;655M#&
23*)&5'&5".!+6#-! ! affiche les informations relatives linterface IP et indique si des listes
de contrle daccs sont configures.

23*)&#--!((0
23*)&#--!((0%5(.(

affiche le contenu de toutes les listes de contrle daccs sur le routeur.

&
&
&
96

+<""5";00-*"65; ! permet galement dafficher les listes daccs dun routeur, ainsi
23*)& +<""5";
que les informations daffectation aux interfaces.

E?B<.B!+.!>*;<=X-.!+F@>>]B!`%NEa!
E?B<.B!+.!>*;<=X-.!+F@>>]B!`%NEa!
/3#90#&:0&58492G?0&:;655M#&#964:62:&
Les listes daccs standard vrifient ladresse dorigine des paquets IP qui sont routs.

! La plage additionnelle (1300 1999) ACL IP expanses utilise afin de procurer un

maximum de 798 nouvelles ACL standards (version 12.0)

Syntaxe complte de la commande ACL standard :

Router(config)##--!((
#--!((00%5(.

{n ACL} {deny | permit | remark} {source} {masque gnrique} [log]

{n ACL} ! indique le numro dACL (entre les plages 1 et 99 et 1300 et 1999 )

{permit | deny} ! accepter ou refuser
remark ! ajouter un commentaire pour la comprhension (facultatif)
{conditions} ! liste des conditions de test
{source} ! adresse rseau ou lhte do provient le paquet.
{masque gnrique} ! pour indiquer les bits comparer (facultatif)
[log]! Provoque un message de journalisation informatif au sujet du paquet correspondant
lACL envoyer au port console.

97

Exemples :

Remarque : Notez que la premire instruction ACL ne contient aucun masque gnrique.
Dans le cas o aucune liste napparat, le masque par dfaut (0.0.0.0) est utilis.

/3#90#&:0&58492G?0&:;655M#&"904:$0#&
! Elles fournissent une plus grande gamme de contrle.
! Elles vrifient les adresses dorigine et de destination du paquet, mais peuvent aussi
vrifier les protocoles et les numros de port.
Exemple : Une liste de contrle daccs tendue peut autoriser le trafic de messagerie issu de
linterface Fa0/0 vers des destinations S0/0 donnes tout en refusant des transferts de fichiers
et des navigations sur le Web.

! Pour une mme liste de contrle daccs, plusieurs instructions peuvent tre configures.
(Vous pouvez dfinir autant dinstructions que vous le souhaitez, la seule limite tant la
mmoire disponible sur le routeur).
Syntaxe complte de la commande ACL tendue :

Oprateurs :

eq = gale

gt = suprieur

lt = infrieur neq = non gale

Exemples :

&
98

/3#90#&:0&58492G?0&:;655M#&48%%"0#&
Les listes de contrle daccs nommes IP ont t introduites (version 11.2), afin
dattribuer des noms aux listes daccs standard et tendues la place des numros.
Avantages :

Identifier de manire intuitive une liste daccs laide dun nom alphanumrique.
LIOS ne limite pas le nombre dACL nommes qui peuvent tre configures.
Les ACL nommes permettent de modifier des listes de contrle daccs sans avoir
les supprimer, puis les reconfigurer.

Remarque : Un mme nom ne peut pas tre utilis pour plusieurs listes de contrle daccs.
Syntaxe de la cration :
Q'&#--!((0
Q'&#--!((0%5(. {extended | standard} {nom de lACL}

Exemple :

O%1?650%049&:0#&?3#90#&:0&58492G?0&:;655M#&
Si le trafic est filtr, la liste de contrle daccs doit tre place lendroit o elle aura
le plus grand impact sur les performances.
La rgle gnrale est de placer les listes de contrle daccs tendues le plus prs
possible de la source du trafic refus.

&
99

Q620W>0$&
Un pare-feu est une structure situe entre lutilisateur et le monde extrieur afin de
protger le rseau interne des intrus.
Exemple :

Dans larchitecture prsente, le routeur connect au rseau Internet, appel routeur

externe, oblige tout le trafic entrant passer par la passerelle dapplication. Le routeur
connect au rseau interne, appel routeur hte, accepte uniquement les paquets de la
passerelle dapplication. En fait, la passerelle gre la livraison des services rseau vers le
rseau interne et partir de celui-ci.
! Les listes de contrle daccs doivent tre utilises dans les routeurs pare-feu, lesquels sont
souvent placs entre le rseau interne et un rseau externe
! Les listes de contrle daccs sont utilises sur un routeur situ entre deux sections du
rseau pour contrler le trafic entrant ou sortant dune section particulire du rseau interne.

!0#92359384&:0&?;655M#&6$&902%346?&I329$0?&
Par dfaut, une liste daccs tendue pour le trafic Telnet sortant nempche pas le
routeur de lancer des sessions Telnet.
Lobjectif de laccs limit au terminal virtuel est daugmenter la scurit du rseau.

100

Exemple : Processus de cration de la liste de contrle daccs au terminal virtuel :

Vous devez prendre en compte les lments suivants lors de la configuration :

Lors du contrle de laccs une interface, un nom ou un numro peut tre utilis.
Seules les listes daccs numrotes peuvent tre appliques des lignes virtuelles.
Dfinissez des restrictions identiques sur toutes les lignes de terminal virtuel.

101