Vous êtes sur la page 1sur 4

ACCESS LIST

Definition liste
Router (config) # access-list numero_liste_accs {permit | deny} {condition_de_test}
Application de la liste une interface
Router (config-if) # {protocole} access-group numero_liste_accs
numero_liste_accs : 1 99 ACL, 100 199 ACL Etendue
Exemple :
interface ethernet 0
ip address 1.1.1.1 255.0.0.0
ip access-group 1 in
ip access-group 2 out
!
access-list 1 permit 5.6.0.0 0.0.255.255
access-list 1 deny 7.9.0.0 0.0.255.255
!
access-list 2 permit 1.2.3.4
access-list 2 deny 1.2.0.0 0.0.255.255

Masque gnrique: 4 octets c a d 32 bits


0 : vrifier
1 : ne pas vrifier
Exemple :
00000000 =0 Verifier tous les bits dadresses
11111111=255 ne pas verifier les bits dadresses
Mot cle ANY : (255.255.255.255)
Router(config)# access-list 1 permit 0.0.0.0 255.255.255.255
vous pouvez utiliser ceci :
Router(config)# access-list 1 permit any
0000 signifie tous adresse IP
Mot cle HOST : (0.0.0.0)
Router(config)# access-list 1 permit 172.30.16.29 0.0.0.0
vous pouvez utiliser ceci :
Router(config)# access-list 1 permit host 172.30.16.29
ACL standard:
Router(config)# access-list numro-liste-d'accs {deny | permit} source
[masque-gnrique-source ] [log]
Utilisez la forme no de cette commande pour supprimer une liste de contrle d'accs standard.
En voici la syntaxe :
Router(config)# no access-list numro-liste-d'accs

La commande ip access-group associe une liste de contrle d'accs existante une interface.
N'oubliez pas qu'une seule liste de contrle d'accs est permise par port, par protocole et par
direction. La syntaxe de cette commande est la suivante :
Router(config-if)#ip access-group numro-liste-d'accs {in | out}

Exemple :
access-list 1 permit 172.16.0.0 0.0.255.255
(instruction " deny any " implicite - non visible dans la liste)
(access-list 1 deny 0.0.0.0 255.255.255.255)
interface ethernet 0
ip access-group 1 out
interface ethernet 1
ip access-group 1 out
Refus dun hote pariculier:
access-list 1 deny host 172.16.4.13 0.0.0.0
access-list 1 permit 0.0.0.0 255.255.255.255
(instruction " deny any " implicite)
(access-list 1 deny 0.0.0.0 255.255.255.255)
interface ethernet 0
ip access-group 1 out
ACL Etendue:
Router(config)# access-list numro-liste-d'accs {permit | deny}
protocol source [source-mask destination destination-mask operator operand] [established]
protocol: tcp ou udp
source: @ip source
source-mask : masque gnrique source
operator operand : It, gt, eq, neq (inferieur,sup, egal, not equal)
established: permet le TCP de passer si le paquet utilise une connexion etablie
NB : La destination est facultative

La commande ip access-group lie une liste de contrle d'accs tendue existante une
interface. N'oubliez pas qu'une seule liste de contrle d'accs est permise par interface, par
direction et par protocole. Le format de cette commande est le suivant :
Router(config-if)# ip access-group numro-liste-d'accs {in | out}
Exemple :
Refuser l'acheminement, par E0, du trafic Telnet uniquement et autoriser
l'acheminement de tout autre trafic
access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23
access-list 101 permit ip any any
(instruction " deny any " implicite)
(access-list 101 deny ip 0.0.0.0 255.255.255.255
0.0.0.0 255.255.255.255)
interface ethernet 0
ip access-group 101 out