Vous êtes sur la page 1sur 3

ACL (liste de contrle daccs)

Une ACL est une suite dinstructions permettant de filtrer (dautoriser ou de refuser) des paquets entrant ou sortant dune interface du
routeur en fonction dun certain nombre de critres, tels que : ladresse IP dorigine, ladresse IP de destination, le numro de port, les
protocoles de couche suprieurs et dautre paramtres.
Les ACl peuvent tre crs pour tous les protocoles routs (ip, ipx, ).
Il est possible dappliquer au maximum une ACL par interface et par sens (input ou output (par dfaut : out)).
Une ACL est analyse par lIOS de manire squentielle.
Lorsquune ACL contient plusieurs rgles il faut placer les rgles les plus prcises en dbut de liste, et donc les plus gnriques en fin de
liste.
Ds quune rgle correspond au trafic, laction dfinie est applique, le reste de lACL nest pas analys.
Si un paquet ne correspond aucune instruction dans lACL, le paquet est jet. Ceci est le rsultat de linstruction implicite deny any la
fin da chaque ACL.
Remarque : les ACL servent galement identifier un trafic afin dtre trait par un processus, dans ce cas le trafic correspondant un
permit est trait, et celui correspondant un deny est ignor.
ACL
(numrique/nomme)

Standard

Etendues

Adresse IP source

Permet danalyser du
trafic en fonction de :

Sont appliquer
ACL
Standard
numriq IPv4
Etendue
ue
IPv4
nomme Standard
IPv4
Etendue
IPv4

Le plus proche possible de la destination en raison de leur


faible prcision

R1(config)# access-list

{1-99}

Adresse IP source
Adresse IP destination
Protocole (tcp, udp, icmp, )
Port source
Port destination
Etc.
Le plus proche possible de la source

Cration et Configuration
{action} {IP source}

R1(config)# access-list {100-199} {action} {protocole} {IP source} [port source] {IP
destination} [port dest] [oprateur oprande]
R1(config)# ip access-list standard {nom}
R1(config-std-nacl)# {action} {IP source}
R1(config)# ip access-list etendue {nom}
R1(config-std-nacl)# {action} {protocole} {IP source} [port source] {IP destination} [port
destination] [oprateur oprande]

Etendue
IPv6

R1(config)# ipv6 access-list {nom}


R1(config)# {action} {protocole} {IPv6 source}
destination] [oprateur oprande]

[port source]

{IPv6 destination}

[port

Action
deny
permit
remark
Descript refuse l'accs si la condition est
autorise l'accs si la condition est
Ajoute une remarque propos des instructions ACL
respecte
respecte
ion
pour plus de lisibilit
Protocole (nom
Tcp (6)
Udp (17)
Ip (sans
Ipv6
Icmp (1) Echo
RIP, EIGRP,
ou numro [0oprande)
(sans oprateur)
255] d'un
protocole
internet)
IP source /IP destination
Adresse d'un hote
Adresse d'un rseau
N'importe quelle source de n'importe
quelle rseau

Ipv4
Adresse-d-un-hote 0.0.0.0 ou host adressed'un-hote
Adresse-d-un-rseau wildcard mask ex:
10.1.3.0 0.0.0.255
0.0.0.0 255.255.255.255 ou Any

Ipv6
Adresse-dun-hote/128
ex :
200:1:2::5/128
Adresse-d-un-rseau/64 ex : 200:1:2::
/64
any

Oprateur

lt

eq

compare les ports de dest ou


de source

Infrieur
(less than)

gal
(equal)

gt
Suprieur
(greater
than)

neq

range

Diffrent de
(not equal)

Gamme inclusive (dfinit par deux


numros de port)

Oprande : le nom du service de couche application ou leur numro (DNS, http, http, 25, 21,..)
Appliquer une ACL
sur une interface
sur les lignes VTY 0 4

Pour tout les types dACLs ipv4


R1(config-if)# ip access-group
{N/nom} {in/out}
R1(config-line)# [no] access-class
{N/Nom} IN

Modification dune ACL Standard


R1# show access-list {nom/N}
R1(config)# ip access-list standard {nom/N}
Pour Supprimer la rgle portant un numro de squence n.
R1(config-std-nacl)# no {n de squence}
Pour ajouter une rgle avec le un numro de squence n.
R1(config-std-nacl)# {n de squence} {action} {ip
source}
Type d'ACL
supprimer

(numrique/nomme)
Standard (ipv4)
R1(config)# no accesslist {N}

Pour lACL ipv6


R1(config-if)# ipv6 traffic-filter {Nom}
{in/out}
R1(config-line)# [no] access-class Nom
IN

Modification dune ACL Etendue (ipv4/ipv6)


R1# show access-list {nom/n}
R1(config)# ip access-list extanded {nom/N}
Pour Supprimer la rgle portant un numro de squence n.
R1(config-std-nacl)# no {n de squence}
Pour ajouter une rgle avec le un numro de squence n.
R1(config-std-nacl)# {n de squence} {action} {ip source}

(numrique/nomme) tendue (ipv4)


R1(config)# no ip access-list
standard/etendue {Nom}

Verification
Vrification des ACLs
Vrification dune ACL prcise (Pour savoir le numro de squence
(qui est au dbut de chaque ligne de chaque rgle)
Vrification de lACL applique sur une interface prcise
(outgoing applique en sortie)
Vrifier le fonctionnement dune ACL (pour savoir la nombre de
fois ou chaque rgle de lACL a t applique)

Nomme tendue (ipv6)


R1(config)# no ipv6 accesslist {Nom}

R1#

Pour tout les types dACLs ipv4 / ipv6


show access-lists

R1#

show access list {numro/nom}

R1# show ip interface {type dinterface} {N de


linterface}
R1#

show access-lists workingACL