TechniquesdesRseauxInformatiques

LISTES DE CONTRLE DACCS (ACL)

telecharger par AMER FAHMI

1 Notions de base sur la liste de contrle daccs (ACL)

1-1 Dfinition des listes de contrle daccs

Les listes de contrle daccs sont des listes de conditions qui sont appliques au trafic
circulant via une interface de routeur.

Ces listes indiquent au routeur les types de paquets accepter ou rejeter. Lacceptation et
le refus peuvent tre bass sur des conditions prcises. Les ACL permettent de grer le
trafic et de scuriser laccs dun rseau en entre comme en sortie.

Des listes de contrle daccs peuvent tre cres pour tous les protocoles routs, tels que
les protocoles IP (Internet Protocol) et IPX (Internetwork Packet Exchange). Des listes de
contrle daccs peuvent galement tre configures au niveau du routeur en vue de
contrler laccs un rseau ou un sous-rseau.

Les listes daccs filtrent le trafic rseau en commandant aux interfaces dun routeur
dacheminer ou de bloquer des paquets routs

www.tri.on.ma
 TechniquesdesRseauxInformatiques

Le routeur examine chaque paquet afin de dterminer sil doit lacheminer ou le rejeter en
fonction des conditions prcises dans la liste de contrle daccs. Certaines conditions
dans une ACL sont des adresses source et de destination, des protocoles et des numros
de port de couche suprieure.

Les listes de contrle daccs doivent tre dfinies en fonction dun protocole, dune direction
ou dune interface

Pour contrler le flux du trafic sur une interface, une ACL doit tre dfinie pour chaque
protocole activ sur linterface. Les ACL contrlent le trafic dans une seule direction la fois
sur une interface. Une ACL spare doit tre cre pour chaque direction : une pour le trafic
entrant et une pour le trafic sortant. Enfin, chaque interface peut avoir plusieurs protocoles et
directions dfinis. Si le routeur a deux interfaces configures pour IP, AppleTalk et IPX, 12
listes daccs distinctes sont ncessaires : une liste pour chaque protocole, fois deux pour la
direction (entre et sortie), fois deux pour le nombre d'interfaces.

Voici les principales raisons pour lesquelles il est ncessaire de crer des listes de contrle
daccs :

Limiter le trafic rseau et accrotre les performances. En limitant le trafic vido, par
exemple, les listes de contrle daccs permettent de rduire considrablement la
charge rseau et donc daugmenter les performances.

www.tri.on.ma
 TechniquesdesRseauxInformatiques

Contrler le flux de trafic. Les ACL peuvent limiter larrive des mises jour de
routage. Si aucune mise jour nest requise en raison des conditions du rseau, la
bande passante est prserve.
Fournir un niveau de scurit daccs rseau de base. Les listes de contrle daccs
permettent un hte daccder une section du rseau tout en empchant un autre
hte davoir accs la mme section. Par exemple, lhte A peut accder au rseau
rserv aux ressources humaines, tandis que lhte B ne peut pas y accder.
Dterminer le type de trafic qui sera achemin ou bloqu au niveau des interfaces de
routeur. Il est possible dautoriser lacheminement des messages lectroniques et de
bloquer tout le trafic via Telnet.
Autoriser un administrateur contrler les zones auxquelles un client peut accder
sur un rseau.
Filtrer certains htes afin de leur accorder ou de leur refuser laccs une section de
rseau. Accorder ou refuser aux utilisateurs la permission daccder certains types
de fichiers, tels que FTP ou HTTP.

Lorsquaucune liste de contrle daccs nest configure sur le routeur, tous les paquets
achemins par le routeur peuvent accder toutes les sections du rseau.

1-2 Fonctionnement des listes de contrle daccs

Une liste de contrle daccs est un groupe dinstructions qui dfinissent si les paquets sont
accepts ou rejets au niveau des interfaces dentre et de sortie

Pour prendre ces dcisions, les paquets sont compars avec une instruction de condition
dune liste daccs, puis accepts ou rejets selon laction dfinie dans linstruction.

Lordre des instructions ACL est important. La plate-forme logicielle Cisco IOS teste le
paquet par rapport chaque instruction de condition en partant du dbut de la liste jusqu la
fin. Lorsquune condition est satisfaite dans la liste, le paquet est accept ou rejet et les
autres instructions ne sont pas vrifies. Si une instruction de condition autorisant laccs
tout le trafic est situe en haut de la liste, aucune instruction ajoute en dessous ne sera
vrifie.

Pour ajouter des instructions de condition supplmentaires dans une liste daccs, vous
devez supprimer toute la liste et en recrer une avec les nouvelles instructions.

www.tri.on.ma
 TechniquesdesRseauxInformatiques

Pour faciliter le processus de rvision dune liste de contrle daccs, il est prfrable
dutiliser un diteur de texte comme le Bloc-notes et de coller la liste dans la configuration du
routeur.

Le processus du routeur dbute de la mme faon, et ce, que des listes de contrle daccs
soient utilises ou non

Au moment o une trame entre dans linterface, le routeur vrifie si ladresse de couche 2
correspond ou sil sagit dune trame de broadcast. Si ladresse de la trame est accepte, les
informations de trame sont limines et le routeur recherche une liste de contrle daccs
sur linterface dentre. Le cas chant, le paquet est vrifi pour dceler des
correspondances avec les instructions de la liste. Si le paquet correspond une instruction, il
est soit accept soit refus. Si le paquet est accept dans linterface, il est ensuite compar
aux enregistrements de la table de routage afin de dterminer linterface de destination, et
transmis cette interface. Ensuite, le routeur vrifie si linterface de destination possde une
liste de contrle daccs. Le cas chant, le paquet est prsent compar aux instructions
de cette liste et si une correspondance est trouve, il est soit accept soit rejet. En
labsence de liste de contrle daccs ou si le paquet est accept, il est encapsul dans le
nouveau protocole de couche 2 et achemin par linterface jusqu lunit suivante.

En rsum, les instructions dune liste de contrle daccs fonctionnent dans lordre
squentiel logique. Si une condition est satisfaite, le paquet est autoris ou refus et les
autres instructions ne sont pas vrifies. Si aucune des instructions ne correspond au
paquet, une instruction implicite deny any est place la fin de la liste par dfaut.
Linstruction invisible deny any sur la dernire ligne dune ACL interdit laccs de tout
paquet qui ne correspond pas aux instructions de la liste de contrle daccs. Lorsque vous

www.tri.on.ma
 TechniquesdesRseauxInformatiques

crez une ACL pour la premire fois, il est recommand dajouter linstruction deny la fin
de la liste pour renforcer la prsence dynamique de linterdiction implicite

1-3 Cration de listes de contrle daccs

Les ACL sont cres en mode de configuration globale. Il existe diffrents types de listes de
contrle daccs : standard, tendues, IPX et AppleTalk. Au moment de configurer les listes
de contrle daccs dun routeur, vous devez identifier chaque liste en lui attribuant un
numro unique. Ce numro identifie le type de liste daccs cr et doit tre compris dans la
plage de numros valide pour ce type

Aprs avoir accd au mode de commande appropri et dcid dun numro de type de
liste, lutilisateur saisit les instructions de la liste daccs laide de la commande access-list,
suivi des paramtres appropris

La seconde partie du processus consiste les assigner linterface qui convient. Cette
premire tape est la premire dun processus qui en compte deux. La seconde partie du
processus consiste assigner lACL linterface qui convient.

www.tri.on.ma
 TechniquesdesRseauxInformatiques

Sous TCP/IP, les listes de contrle daccs sont affectes une ou plusieurs interfaces et
peuvent filtrer le trafic entrant ou sortant laide de la commande ip access-group
disponible partir du mode de configuration dinterface

Lorsque vous affectez une ACL une interface, vous devez spcifier la direction du filtre
(entre ou sortie). La direction du filtre peut tre dfinie de manire vrifier les paquets qui
sont reus ou envoys par une interface. Pour dterminer si une liste de contrle daccs
concerne le trafic entrant ou sortant, ladministrateur rseau doit regarder les interfaces
comme sil tait positionn lintrieur du routeur. Il sagit dun point trs important. Les
paquets reus par une interface sont filtrs par une liste de contrle daccs pour trafic
entrant tandis que les paquets envoys par une interface sont filtrs par une liste de contrle
daccs pour trafic sortant. Aprs avoir cr une liste daccs numrote, vous devez
laffecter une interface. Une liste de contrle daccs contenant des instructions
numrotes ne peut pas tre modifie. Elle doit tre supprime laide des instructions de
lACL en utilisant la commande no access-listnumro-de-liste pour tre ensuite
recre

Les rgles de base suivantes doivent tre respectes lors de la cration et de lapplication
des listes daccs :

Une liste daccs par direction et par protocole.

Les listes daccs standard doivent tre appliques le plus prs possible de la
destination.
Les listes daccs tendues doivent tre appliques le plus prs possible de la
source.
Pour faire rfrence une interface dentre ou de sortie, placez-vous lintrieur du
routeur en regardant l'interface en question.
Les instructions sont traites dans lordre depuis le dbut de la liste jusqu la fin
jusqu ce quune correspondance soit trouve. Si aucune correspondance nest
dtecte, le paquet est refus.

www.tri.on.ma
 TechniquesdesRseauxInformatiques

Il existe un refus implicite deny any la fin de toutes les listes de contrle daccs.
Cela napparat pas dans la liste de configuration.
Les entres de la liste daccs doivent filtrer les paquets dans lordre, du plus
spcifique au plus gnral. Les htes spcifiques doivent tre rejets en premier,
tandis que les groupes ou les filtres gnraux viennent en dernier.
La condition de correspondance est examine en premier. Lacceptation ou le refus
est examin UNIQUEMENT si la condition est vraie.
Ne travaillez jamais avec une liste daccs qui est applique de manire active.
Utilisez un diteur de texte pour crer des commentaires indiquant la logique, puis
ajoutez les instructions correspondantes.
Les nouvelles lignes sont toujours ajoutes la fin de la liste de contrle daccs. La
commande no access-listx supprime toute la liste. Il nest pas possible dajouter
et de supprimer des lignes spcifiques dans des listes daccs numrotes.
Une liste daccs IP envoie un message ICMP dhte inaccessible lmetteur du
paquet rejet et limine le paquet dans la corbeille prvue cet effet.
Soyez particulirement attentif lorsque vous supprimez une liste daccs. Si la liste
daccs est applique une interface de production et que vous la supprimez, selon
la version de lIOS, une instruction deny any peut tre applique par dfaut
linterface et tout le trafic peut tre arrt.
Les filtres de sortie ne concernent pas le trafic gnr par le routeur local.

1-4 Rle du masque gnrique

Un masque gnrique est une quantit de 32 bits diviss en quatre octets

Un masque gnrique est jumel une adresse IP. Les chiffres 1 et 0 du masque sont
utiliss pour indiquer la faon dont les bits de ladresse IP correspondante doivent tre
traits. Lexpression masque gnrique est un surnom du procd de correspondance
masque-bit des listes de contrle daccs. Les masques gnriques nont aucune relation
fonctionnelle avec les masques de sous-rseau. Ils sont utiliss dans des cas diffrents et
suivent des rgles diffrentes.

www.tri.on.ma
 TechniquesdesRseauxInformatiques

Le masque de sous-rseaux et le masque gnrique reprsentent deux choses diffrentes

mme s'ils sont tous les deux appliqus des adresses IP. Les masques de sous-rseaux
utilisent les uns et les zros binaires pour identifier les parties rseau, sous-rseaux et hte
d'une adresse IP. Les masques gnriques utilisent les uns et les zros binaires pour filtrer
des adresses IP individuelles ou de groupes pour autoriser ou refuser un accs des
ressources l'aide d'une adresse IP prcise. Le masque gnrique agit typiquement "
l'inverse" du masque sous-rseaux. Les seules ressemblances entre un masque gnrique
et un masque de sous-rseaux sont leur taille de trente deux bits et leur usage de uns et de
zros binaires.

Cependant, dans un masque gnrique, la signification des uns et des zros nest pas la
mme que dans le masque de sous-rseau.

Afin dliminer toute confusion dans les schmas, nous avons remplac les chiffres 1 par des
X dans les masques gnriques. Le masque la figure serait crit sous la forme
0.0.255.255.

Le zro implique que la valeur soit compare (correspondance parfaite exige), tandis que le
X (1) implique de bloquer la comparaison (correspondance exacte non exige).

Dans le processus prsent, le masque gnrique est appliqu ladresse IP figurant dans
linstruction access-list. Cela cre la valeur de correspondance qui est utilise pour voir si un
paquet doit tre trait par cette instruction ACL ou envoy linstruction suivante pour tre
vrifi. Dans la deuxime partie du processus ACL, toute adresse IP vrifie par une
instruction ACL particulire se voit appliquer le masque gnrique correspondant
linstruction. Le rsultat de ladresse IP et celui du masque gnrique doivent correspondre
la valeur de correspondance de lACL. la figure

www.tri.on.ma
 TechniquesdesRseauxInformatiques

ce processus est illustr par une animation.

Deux mots-cls spciaux sont utiliss dans les listes de contrle daccs, les options any et
host

Loption any remplace 0.0.0.0 dans ladresse IP et 255.255.255.255 dans le masque

gnrique. Cette option tablit une correspondance avec toute adresse avec laquelle elle est
compare. Loption host remplace le masque 0.0.0.0. Ce masque ncessite une
correspondance parfaite entre tous les bits de ladresse ACL et ceux de ladresse du paquet.
Avec cette option, une seule adresse concorde
1-5 Vrification des listes de contrle daccs

De nombreuses commandes show permettent de vrifier le contenu et lemplacement des

listes de contrle daccs sur le routeur.

La commande show ip interface affiche les informations relatives linterface IP et

indique si des listes de contrle daccs sont configures

www.tri.on.ma
 TechniquesdesRseauxInformatiques

La commande show access-lists affiche le contenu de toutes les listes de contrle

daccs sur le routeur.

Pour afficher une liste spcifique, ajoutez le nom ou le numro de la liste de contrle daccs
en tant quoption de cette commande. La commande show running-config permet
galement dafficher les listes daccs dun routeur, ainsi que les informations daffectation
aux interfaces

Ces commandes show vrifient le contenu et lemplacement des listes. Il est galement
conseill de tester les listes daccs avec des exemples de trafic afin de vrifier leur logique.

2 Listes de contrle daccs (ACL)

2-1 Listes de contrle daccs standard

Les listes daccs standard vrifient ladresse dorigine des paquets IP qui sont routs

Selon le rsultat de la comparaison, lacheminement est autoris ou refus pour un ensemble

de protocoles complet en fonction des adresses rseau, de sous-rseau et dhte. titre
dexemple, ladresse dorigine et le protocole des paquets qui entrent par linterface Fa0/0

10

www.tri.on.ma
 TechniquesdesRseauxInformatiques

sont vrifis. Si laccs leur est accord, les paquets sont achemins travers le routeur vers
une interface de sortie. Dans le cas contraire, ils sont abandonns au niveau de linterface
dentre.

La version standard de la commande de configuration globale access-list est utilise pour

dfinir une ACL standard avec un numro compris entre 1 et 99 partir de la version Cisco
IOS Software Release 12.0.1, les ACL standards ont dbut utiliser la plage additionnelle
(1300 1999) afin de procurer un maximum de 798 nouvelles ACL standards. Ces numros
additionnels sont habituellement appels ACL IP expanses

Notez que la premire instruction ACL ne contient aucun masque gnrique. Dans le cas o
aucune liste napparat, le masque par dfaut (0.0.0.0) est utilis. Cela signifie que la totalit
de ladresse doit correspondre, ou que cette ligne de lACL ne sapplique pas et que le routeur
doit rechercher une correspondance dans la ligne suivante de la liste daccs.

La syntaxe complte de la commande ACL standard est la suivante:

Router(config)#access-listaccess-list-number {deny | permit | remark} source [source-

wildcard] [log]

Les commentaires remark permettent de comprendre plus facilement les listes d'accs.
Chaque commentaire est limit 100 caractres. Par exemple, il n'est pas vident de connatre
le but de la saisie :

Router(config)#access-list 1 permit 171.69.2.88

Il est beaucoup plus facile de lire le commentaire qui suit pour comprendre son effet :

Router(config)#Liste d'accs 1 remark Permet seulement au poste de travail de Jones de

passer access-list 1 permit 171.69.2.88

Utilisez la forme no de cette commande pour supprimer une liste de contrle daccs
standard. En voici la syntaxe:

Router(config)#no access-list numro-liste-daccs

11

www.tri.on.ma
 TechniquesdesRseauxInformatiques

La commande ip access-group applique une ACL standard existante une interface:

Router(config)#ip access-group {access-list-number | access-list-name} {in | out}

Le tableau dcrit les paramtres utiliss dans cette syntaxe.

12

www.tri.on.ma
 TechniquesdesRseauxInformatiques

2-2 Listes de contrle daccs tendues

Les listes daccs tendues vrifient les adresses dorigine et de destination du paquet, mais
peuvent aussi vrifier les protocoles et les numros de port. Cela donne une plus grande
souplesse pour dcrire ce que vrifie la liste de contrle daccs. Laccs dun paquet peut
tre autoris ou refus selon son emplacement dorigine et sa destination, mais aussi selon son
type de protocole et les adresses de ses ports. Une liste de contrle daccs tendue peut
autoriser le trafic de messagerie issu de linterface Fa0/0 vers des destinations S0/0 donnes
tout en refusant des transferts de fichiers et des navigations sur le Web. Lorsque des paquets
sont limins, certains protocoles envoient un paquet dcho lmetteur, pour lui indiquer
que la destination tait inaccessible.

Pour une mme liste de contrle daccs, plusieurs instructions peuvent tre configures.

Chacune de ces instructions doit contenir le mme numro de liste daccs pour que toutes les
instructions soient associes la mme liste de contrle daccs. Vous pouvez dfinir autant
dinstructions que vous le souhaitez, la seule limite tant la mmoire disponible sur le routeur.

13

www.tri.on.ma
 TechniquesdesRseauxInformatiques

Il va sans dire que plus il y a dinstructions, plus la liste de contrle daccs est difficile
comprendre et grer.

La syntaxe dune instruction de liste daccs tendue peut tre trs longue et fait souvent
lobjet de retours la ligne automatiques dans la fentre du terminal. Les masques gnriques
permettent galement dutiliser les mots-cls host ou any dans la commande.

la fin de linstruction de liste daccs tendue, un champ indiquant le numro de port de

protocole TCP (Transmission Control Protocol) ou UDP (User Datagram Protocol) facultatif
ajoute de la prcision.

Les numros de port bien connus pour TCP/IP sont indiqus dans la figure

14

www.tri.on.ma
TechniquesdesRseauxInformatiques

15

www.tri.on.ma
 TechniquesdesRseauxInformatiques

Des oprateurs logiques peuvent tre spcifis, par exemple gal (eq), non gal (neq),
suprieur (gt) et infrieur (lt), et appliqus des protocoles spcifiques. Les listes daccs
tendues utilisent un numro compris entre 100 et 199 (galement entre 2000 et 2699 dans les
versions rcentes de lIOS).

La commande ip access-group lie une liste de contrle daccs tendue existante une
interface. Noubliez pas quune seule liste de contrle daccs est permise par interface, par
direction et par protocole. La syntaxe de cette commande est la suivante:

Router(config-if)#ip access-groupnumro-liste-daccs {in | out}

2-3 Listes de contrle daccs nommes

Les listes de contrle daccs nommes IP ont t introduites dans la plate-forme logicielle
Cisco IOS version 11.2, afin dattribuer des noms aux listes daccs standard et tendues la
place des numros.

Les avantages procurs par une liste daccs nomme sont les suivants:

Identifier de manire intuitive une liste daccs laide dun nom alphanumrique.
LIOS ne limite pas le nombre dACL nommes qui peuvent tre configures.
Les ACL nommes permettent de modifier des listes de contrle daccs sans avoir
les supprimer, puis les reconfigurer. Il est important de noter quune liste daccs
nomme permet de supprimer des instructions, et dinsrer des instructions
uniquement la fin de la liste. Mme avec des listes daccs nommes, il est
prfrable dutiliser un diteur de texte pour les crer.

16

www.tri.on.ma
 TechniquesdesRseauxInformatiques

Les listes de contrle daccs nommes IP ont t introduites dans la plate-forme logicielle
Cisco IOS version 11.2, afin dattribuer des noms aux listes daccs standard et tendues
la place des numros. Les avantages procurs par une liste daccs nomme sont les
suivants:

Identifier de manire intuitive une liste daccs laide dun nom alphanumrique.
LIOS ne limite pas le nombre dACL nommes qui peuvent tre configures.
Les ACL nommes permettent de modifier des listes de contrle daccs sans avoir
les supprimer, puis les reconfigurer. Il est important de noter quune liste daccs
nomme permet de supprimer des instructions, et dinsrer des instructions
uniquement la fin de la liste. Mme avec des listes daccs nommes, il est
prfrable dutiliser un diteur de texte pour les crer.

Prenez en considration les lments suivants avant de mettre en uvre des listes de
contrle daccs nommes.

Les listes de contrle daccs nommes ne sont pas compatibles avec les versions de la
plate-forme logicielle Cisco IOS antrieures la version 11.2.

Un mme nom ne peut pas tre utilis pour plusieurs listes de contrle daccs. Par
exemple, il nest pas possible de spcifier la fois une ACL standard et une ACL tendue
nomme George.

Il est important de connatre les listes daccs nommes en raison des avantages prsents
ci-avant. Le fonctionnement des listes daccs avances, telles que les listes daccs
nommes, est prsent dans le cursus CCNP.

Une liste de contrle daccs nomme est cre avec la commande ip access-list.

Lutilisateur passe en mode de configuration dACL. En mode de configuration de liste de

contrle daccs, prcisez une ou plusieurs conditions dautorisation ou de refus.

17

www.tri.on.ma
 TechniquesdesRseauxInformatiques

Cela dtermine si le paquet est achemin ou abandonn lorsque linstruction ACL est
satisfaite.

La configuration prsente cre une liste de contrle daccs standard nomme Internetfilter
et une liste de contrle daccs tendue nomme marketing_group. La figure

illustre galement lapplication des listes daccs nommes une interface.

2-4 Emplacement des listes de contrle daccs

Les listes de contrle daccs sont utilises pour contrler le trafic en filtrant les paquets et en
liminant le trafic indsirable sur un rseau. Un autre lment considrer lors de la mise en
uvre des listes de contrle daccs est lemplacement de ces listes. Si les listes de contrle
daccs sont correctement places, non seulement le trafic peut tre filtr, mais tout le rseau
devient plus performant. Si le trafic est filtr, la liste de contrle daccs doit tre place
lendroit o elle aura le plus grand impact sur les performances.

18

www.tri.on.ma
 TechniquesdesRseauxInformatiques

la figure , ladministrateur dsire refuser le trafic Telnet ou FTP partir dun segment LAN
Ethernet du routeur A vers linterface Fa0/1 LAN Ethernet commute du routeur D, alors
quen mme temps tout autre trafic doit tre autoris. Diverses approches peuvent permettre
datteindre cet objectif. Lapproche recommande est lutilisation dune liste de contrle
daccs tendue indiquant les adresses dorigine et de destination. Placez cette liste de
contrle daccs tendue dans le routeur A. Ainsi, les paquets ne traverseront pas lEthernet
du routeur A, ni les interfaces srie des routeurs B et C. En consquence, ils ne pntreront
pas dans le routeur D. Le trafic comportant des adresses dorigine et de destination diffrentes
sera encore autoris.

La rgle gnrale est de placer les listes de contrle daccs tendues le plus prs possible de
la source du trafic refus. tant donn que les listes de contrle daccs standard ne prcisent
pas les adresses de destination, vous devez les placer le plus prs possible de la destination.
Ainsi, vous devriez placer une liste de contrle daccs standard sur le port Fa0/0 du routeur
D pour interdire le trafic provenant du routeur A.

Un administrateur ne peut placer une liste daccs que sur une unit quil contrle. Par
consquent, lemplacement des listes daccs doit tre dtermin dans le contexte dans lequel
stend le contrle de ladministrateur rseau.

2-5 Pare-feu

Un pare-feu est une structure situe entre lutilisateur et le monde extrieur afin de protger le
rseau interne des intrus. Dans la plupart des cas, les intrus proviennent du rseau global
Internet et des milliers de rseaux distants quil interconnecte. En rgle gnrale, un pare-feu
rseau est constitu de plusieurs machines diffrentes qui travaillent ensemble pour empcher
laccs indsirable et non autoris.

Dans larchitecture prsente, le routeur connect au rseau Internet, appel routeur externe,
oblige tout le trafic entrant passer par la passerelle dapplication. Le routeur connect au
rseau interne, appel routeur hte, accepte uniquement les paquets de la passerelle
dapplication. En fait, la passerelle gre la livraison des services rseau vers le rseau interne
et partir de celui-ci. Par exemple, seuls certains utilisateurs peuvent tre autoriss se
connecter Internet ou seules certaines applications peuvent tre autorises tablir des
connexions entre des htes internes et externes. Si la seule application autorise est la
messagerie lectronique, le routeur doit autoriser uniquement le passage des paquets de

19

www.tri.on.ma
 TechniquesdesRseauxInformatiques

courrier. Cela protge la passerelle dapplication et vite de linonder avec des paquets quelle
abandonnerait autrement.

Les listes de contrle daccs doivent tre utilises dans les routeurs pare-feu, lesquels sont
souvent placs entre le rseau interne et un rseau externe, tel quInternet. Cela permet ainsi
de contrler le trafic entrant ou sortant dun endroit spcifique du rseau interne. Vous pouvez
galement utiliser les listes de contrle daccs sur un routeur situ entre deux sections du
rseau pour contrler le trafic entrant ou sortant dune section particulire du rseau interne.

Vous devez configurer des listes de contrle daccs sur les routeurs priphriques situs aux
frontires du rseau pour tirer parti des avantages des listes de contrle daccs en matire de
scurit. Cela permet de fournir une protection de base contre le rseau externe ou de mettre
labri une zone plus prive du rseau dune zone moins contrle. Sur ces routeurs
priphriques, des listes de contrle daccs peuvent tre cres pour chaque protocole rseau
configur sur les interfaces des routeurs.

2-6 Restriction de laccs au terminal virtuel

Les listes daccs standard et tendues sappliquent aux paquets traversant un routeur. Elles
ne sont pas destines bloquer les paquets qui sont crs sur ce routeur. Par dfaut, une liste
daccs tendue pour le trafic Telnet sortant nempche pas le routeur de lancer des sessions
Telnet.

Tout comme il existe des interfaces ou des ports physiques, tels que Fa0/0 et S0/0 sur le
routeur, il existe galement des ports virtuels. Ces ports virtuels sont appels lignes vty. Il
existe cinq lignes vty, numrotes de 0 4, comme lindique la figure

Pour des raisons de scurit, laccs au terminal virtuel du routeur peut tre autoris ou refus
aux utilisateurs, mais laccs des destinations partir de ce routeur peut leur tre refus.

Lobjectif de laccs limit au terminal virtuel est daugmenter la scurit du rseau. Laccs
au terminal virtuel est galement possible avec le protocole Telnet qui cre une connexion
non physique vers le routeur. Ainsi, il nexiste quun seul type de liste de contrle daccs au
terminal virtuel. Des restrictions identiques doivent tre dfinies sur toutes les lignes vty, car
il nest pas possible de contrler la ligne laquelle lutilisateur va se connecter.

Le processus de cration de la liste de contrle daccs au terminal virtuel est identique celui
dcrit pour une interface. Toutefois, lapplication de la liste de contrle daccs une ligne de
terminal ncessite la commande access-class la place de la commande access-group

20

www.tri.on.ma
 TechniquesdesRseauxInformatiques

Vous devez prendre en compte les lments suivants lors de la configuration de listes daccs
sur des lignes vty :

Lors du contrle de laccs une interface, un nom ou un numro peut tre utilis.
Seules les listes daccs numrotes peuvent tre appliques des lignes virtuelles.
Dfinissez des restrictions identiques sur toutes les lignes de terminal virtuel, car un
utilisateur peut tenter de se connecter nimporte quelle ligne.

Rsum

La comprhension des points cls suivants devrait tre acquise:

Les listes de contrle daccs remplissent plusieurs fonctions lintrieur dun

routeur, y compris la mise en uvre de procdures de scurit et daccs.
Les listes de contrle daccs sont utilises pour contrler et grer le trafic.
Dans le cas de certains protocoles, vous pouvez appliquer deux listes de contrle
daccs une interface : une liste daccs qui contrle le trafic entrant et une autre qui
contrle le trafic sortant.
Avec ces listes, ds quune correspondance est tablie avec une instruction ACL,
laccs au routeur peut tre autoris ou refus au paquet en question.
Les bits de masque gnrique utilisent les chiffres 1 et 0 pour prciser la faon de
traiter les bits correspondants de ladresse IP.
La cration et lapplication des listes daccs sont vrifies par lutilisation de
commandes show IOS varies.
Les deux principaux types de liste de contrle daccs sont les listes de contrle
daccs standard et les listes de contrle daccs tendues.
Les listes de contrle daccs nommes permettent dutiliser un nom pour identifier la
liste au lieu dun numro.
Des listes de contrle daccs peuvent tre configures pour tous les protocoles rseau
routs.
Les listes de contrle daccs sont places l o elles permettent un contrle optimum.
Les listes de contrle daccs sont gnralement utilises dans les routeurs pare-feu.
Les listes de contrle daccs peuvent galement limiter laccs au terminal virtuel du
routeur.

21

www.tri.on.ma