El Hassan EL AMRI || Campus des Rseaux Informatiques et Tlcommunications

ACL
(Access Control List)
Introduction
Une liste de contrle d'accs est un ensemble squentiel d'instructions d'autorisation ou de refus qui
s'appliquent aux adresses ou aux protocoles de couche suprieure. Les listes de contrle d'accs
reprsentent un outil puissant pour contrler le trafic entrant ou sortant d'un rseau. Des listes de
contrle d'accs peuvent tre configures pour tous les protocoles rseau routs.

I) Objectif des listes de contrle d'accs

Qu'est-ce qu'une liste de contrle d'accs ?
Une liste de contrle d'accs (ou ACL) est une srie de commandes IOS qui dterminent si un
routeur achemine ou abandonne les paquets en fonction des informations contenues dans l'en-tte de
paquet. Les listes de contrle d'accs font partie des fonctionnalits les plus utilises du logiciel
Cisco IOS.
Une fois configures, les listes de contrle d'accs assurent les tches suivantes

Elles limitent le trafic rseau pour accrotre les performances rseau. Ainsi, la charge rseau
est nettement rduite et les performances rseau sont sensiblement amliores.
Elles contrlent le flux de trafic. Les listes de contrle d'accs peuvent limiter l'arrive des
mises jour de routage.
Elles fournissent un niveau de scurit de base pour l'accs rseau.
Elles filtrent le trafic en fonction de son type.
Elles filtrent les htes pour autoriser ou refuser l'accs aux services sur le rseau.

Filtrage des paquets

Le filtrage des paquets, parfois appel filtrage statique des paquets, contrle l'accs un rseau en
analysant les paquets entrants et sortants et en les transmettant ou en rejetant selon des critres
spcifiques, tels que l'adresse IP source, les adresses IP de destination et le protocole transport dans
le paquet.

ACL (Access Control List)

Page 1

El Hassan EL AMRI || Campus des Rseaux Informatiques et Tlcommunications

Un routeur filtre les paquets lors de leur transmission ou de leur refus conformment aux
rgles de filtrage.
Un routeur de filtrage de paquets utilise des rgles pour dterminer s'il doit autoriser ou
refuser le trafic. Un routeur peut galement effectuer le filtrage des paquets au niveau de la
couche 4, la couche transport.

Une liste de contrle d'accs est un ensemble squentiel d'instructions d'autorisation ou de refus,
appeles entres de contrle d'accs (ACE). Les ACE sont couramment appeles des instructions de
liste de contrle d'accs. Des ACE peuvent tre crs pour filtrer le trafic en fonction de critres tels
que l'adresse source, l'adresse de destination, le protocole et les numros de port.

Exemple de filtrage des paquets

Pour comprendre comment un routeur utilise le filtrage des paquets, imaginez qu'un gardien a t
plac devant une porte verrouille. Le gardien a reu pour instruction de ne laisser passer que les
personnes dont les noms figurent sur une liste. Il filtre le passage des personnes conformment la
liste des noms autoriss. Les listes de contrle d'accs fonctionnent de la mme faon et prennent
des dcisions en fonction de critres dfinis.
Par exemple, une liste de contrle d'accs peut tre configure pour autoriser l'accs Web aux
utilisateurs du rseau A, mais leur refuser l'accs tous les autres services. Refuser l'accs HTTP
aux utilisateurs du rseau B, mais leur autoriser tous les autres accs.

ACL (Access Control List)

Page 2

El Hassan EL AMRI || Campus des Rseaux Informatiques et Tlcommunications

Fonctionnement des listes de contrle d'accs

Les listes de contrle d'accs dfinissent des rgles de contrle pour les paquets arrivant par les
interfaces d'entre, passant par le routeur et atteignant leur destination par les interfaces de sortie.
Les listes de contrle d'accs sont configures pour s'appliquer au trafic entrant ou sortant comme le
montre la figure ci-dessous.

II) Les Types des ACLs

Il existe deux types de listes de contrle d'accs IPv4 Cisco : les listes standard et les listes
tendues.
Remarque : les listes de contrle d'accs IPv6 Cisco sont similaires aux listes de contrle d'accs
tendues Ipv4.
Listes de contrle d'accs standard
Les listes de contrle d'accs standard peuvent tre utilises pour autoriser ou refuser le trafic
uniquement depuis des adresses IPv4 source. La destination du paquet et les ports concerns ne
sont pas valus
Listes de contrle d'accs tendues
Les listes de contrle d'accs tendues filtrent les paquets IPv4 en fonction de diffrents critres :
Type de protocole
Adresse IPv4 source
Adresse IPv4 de destination
Ports TCP ou UDP source
Ports TCP ou UDP de destination
Informations facultatives sur le type de protocole pour un contrle plus prcis

ACL (Access Control List)

Page 3

El Hassan EL AMRI || Campus des Rseaux Informatiques et Tlcommunications

Numrotation et attribution d'un nom aux listes de contrle d'accs

Les listes de contrle d'accs standard et tendues et leur liste d'instructions peuvent tre identifies
par un numro ou par un nom.

Directives concernant la cration des listes de contrle d'accs

L'criture des listes de contrle d'accs peut tre une tche complexe. Pour chaque interface,
plusieurs stratgies peuvent tre ncessaires pour grer le type de trafic autoris entrer dans cette
interface ou en sortir.
Pour retenir la rgle gnrale d'application des listes de contrle d'accs, il suffit de se souvenir des
trois P. Vous pouvez configurer une liste de contrle d'accs par protocole, par direction et par
interface :
Une liste de contrle d'accs par protocole : pour contrler le flux du trafic sur une
interface, dfinissez une liste de contrle d'accs pour chaque protocole activ sur l'interface.
Une liste de contrle d'accs par direction : les listes de contrle d'accs contrlent le
trafic dans une seule direction la fois sur une interface. Vous devez crer deux listes de
contrle d'accs ; la premire pour contrler le trafic entrant et la seconde pour contrler le
trafic sortant.
Une liste de contrle d'accs par interface : les listes de contrle d'accs contrlent le
trafic dans une seule interface, par exemple, Gigabit Ethernet 0/0.

ACL (Access Control List)

Page 4

El Hassan EL AMRI || Campus des Rseaux Informatiques et Tlcommunications

Positionnement des listes de contrle d'accs

Le positionnement appropri d'une liste de contrle d'accs peut optimiser l'efficacit du rseau.
Une liste de contrle d'accs peut tre place de sorte rduire le trafic superflu. Chaque liste de
contrle d'accs doit tre place l o elle aura le plus grand impact sur les performances.
Listes de contrle d'accs tendues : placez les listes de contrle d'accs tendues le plus prs
possible de la source du trafic filtrer.
Listes de contrle d'accs standard : tant donn que les listes de contrle d'accs standard ne
prcisent pas les adresses de destination, placez-les le plus prs possible de la destination.

III) ACL Standard

Configuration d'une liste de contrle d'accs standard
Pour utiliser des listes de contrle d'accs standard numrotes sur un routeur Cisco, vous devez
d'abord crer la liste de contrle d'accs standard, puis l'activer sur une interface.

La commande de configuration globale access-list dfinit une liste de contrle d'accs

standard associe un numro compris entre 1 et 99.

La version 12.0.1 du logiciel Cisco IOS a largi cette plage de numros et permet d'attribuer
les numros 1 300 1 999 aux listes de contrle d'accs standard.

La syntaxe complte de la commande des listes de contrle d'accs standard est la suivante :

Router(config)# access-listaccess-list-number { deny |permit | remark } source [source-wildcard ]

[ log ]
Pour mieux comprendre lintrt de chaque commande de l'ACL standard, le tableau ci-dessous
donne une explication suffisante pour comprendre chaque partie de la syntaxe d'ACL standard.

ACL (Access Control List)

Page 5

El Hassan EL AMRI || Campus des Rseaux Informatiques et Tlcommunications

Exemple 1 ACL STANDARD :

Exemple 2 ACL STANDARD :

Application de listes de contrle d'accs standard aux interfaces

Une fois qu'une liste de contrle d'accs standard est configure, elle est associe une interface
l'aide de la commande ip access-group en mode de configuration d'interface:
Router(config-if)# ip access-group { access-list-number |access-list-name } { in | out }

ACL (Access Control List)

Page 6

El Hassan EL AMRI || Campus des Rseaux Informatiques et Tlcommunications

Pour supprimer une liste de contrle d'accs IP d'une interface, entrez d'abord la commande no ip
access-group sur l'interface, puis la commande globale no access-list pour supprimer l'ensemble de
la liste.

Cration de listes de contrle d'accs standard nommes

Si vous attribuez un nom une liste de contrle d'accs, il vous sera plus facile d'en comprendre la
fonction. Par exemple, vous pouvez nommer NO_FTP une liste de contrle d'accs refusant le trafic
FTP.
tape 1. partir du mode de configuration globale, utilisez la commande ip access-list pour crer
une liste de contrle d'accs nomme.

tape 2. En mode de configuration des listes de contrle d'accs nommes, utilisez les
instructions permit (autoriser) ou deny (refuser) pour spcifier une ou plusieurs conditions
dterminant si un paquet est transfr ou abandonn.

tape 3. Appliquez la liste de contrle d'accs une interface l'aide de la commande ip accessgroup. Indiquez si la liste de contrle d'accs doit tre applique aux paquets lorsqu'ils entrent dans
l'interface (in) ou lorsqu'ils quittent l'interface (out).

Commentaires sur les listes de contrle d'accs

Vous pouvez utiliser le mot-cl remark pour intgrer des commentaires (remarques) sur les entres
dans n'importe quelle liste de contrle d'accs IP standard ou tendue. Ces remarques facilitent la
comprhension et la recherche des listes de contrle d'accs. Chaque ligne de remarque est limite
100 caractres.

ACL (Access Control List)

Page 7

El Hassan EL AMRI || Campus des Rseaux Informatiques et Tlcommunications

ACL (Access Control List)

Page 8

El Hassan EL AMRI || Campus des Rseaux Informatiques et Tlcommunications

IV) ACL tendue

Des listes de contrle d'accs IPv4 tendues peuvent tre cres pour permettre un contrle plus
prcis du filtrage du trafic. Les listes de contrle d'accs tendues sont numrotes de 100 199 et
de 2 000 2 699 ce qui offre un total de 799 numros de listes de contrle d'accs tendues
disponibles. Vous pouvez galement attribuer un nom aux listes de contrle d'accs tendues.

Avec les listes des contrles d'acces tendues vous aurez la possibilit de filtrer en fonction des
protocoles et des numros de port permet aux administrateurs rseau de crer des listes de contrle
d'accs tendues trs prcises. Une application peut tre spcifie soit par le numro de port soit par
le nom d'un port rserv.

Configuration d'une liste de contrle tendue

Les procdures de configuration des listes de contrle d'accs tendues sont les mmes que pour les
listes de contrle d'accs standard. La liste de contrle d'accs tendue est d'abord configure, puis
elle est active sur une interface. La syntaxe et les paramtres de commande sont plus complexes
car ils prennent en charge des fonctions supplmentaires fournies par les listes de contrle d'accs
tendues.
La Figure ci-dessous illustre la syntaxe de commande courante pour les listes de contrle d'accs
tendues IPv4. Notez qu'il existe de nombreux mots-cls et paramtres pour les listes de contrle
d'accs tendues. Il n'est pas ncessaire de tous les utiliser lors de la configuration d'une liste de
contrle d'accs tendue.

ACL (Access Control List)

Page 9

El Hassan EL AMRI || Campus des Rseaux Informatiques et Tlcommunications

Cration de listes de contrle d'accs tendues nommes

ACL tendues nommes est similaire la cration des listes de contrle d'accs standard nommes.
Procdez comme suit pour crer une liste de contrle d'accs tendue identifie par un nom :
tape 1. En mode de configuration globale, utilisez la commande ip access-list
extended name pour dfinir le nom de la liste de contrle d'accs tendue.
tape 2. En mode de configuration de la liste de contrle d'accs nomme, spcifiez les
conditions permit ou deny.
tape 3. Repassez en mode d'excution privilgi et vrifiez la liste l'aide de la commande show
access-lists name.

ACL (Access Control List)

Page 10

El Hassan EL AMRI || Campus des Rseaux Informatiques et Tlcommunications

Exemple ACL nommes :

Pour supprimer une liste de contrle d'accs tendue nomme, utilisez la commande de
configuration globale no ip access-list extended name.

Modification des listes de contrle d'accs tendues

Une liste de contrle d'accs tendue peut tre modifie comme suit :
1re mthode, l'diteur de texte : cette mthode consiste copier la liste de contrle d'accs
et la coller dans l'diteur de texte pour la modifier. Il faut ensuite supprimer la liste d'accs
actuelle l'aide de la commande no access-list. Une fois modifie, elle est nouveau colle
dans la configuration.
2e mthode, les numros d'ordre : les numros d'ordre permettent de supprimer ou
d'insrer une instruction de liste de contrle d'accs. Excutez la commande ip access-list
extended name pour passer en mode de configuration de liste de contrle d'accs nomme.
Si la liste d'accs est numrote plutt que nomme.

Rejoignez-nous dans notre groupe sur Facebook

[ https://www.facebook.com/groups/RESEAUX2INFORMATIQUES2TELECOM/ ]

ACL (Access Control List)

Page 11