Vous êtes sur la page 1sur 1

acl on a deux types d'acl : acl etendue , acl standard

acl : acces control list : acl est une liste de rgles permettant de filtrrer ou
d'autoriser le trafic sur le rseau en fonction de certains critres : ip source ,
ip distination , protocole utilis n de port du protcole
une acl permet soit d'autoriser permit soit de bloquer (deny)
out , in
lorsque on mets permit dans une acl qui gre un traffic et aprs on essaye de
bloquer qlq chose on peut pas
acl standard : permet d'analyser le trafic en fonction d'adresse ip source et on
l'applique l'interface la plus proche au destination en raison de leur faible
prcision.

acl tendue : permet d'analyser le traffic en fonction de adresse ip source ,


destination , protocole (tcp , udp, icmp) port source , port destination
les ACLs etendues sont a appliquer le plus proche possible de la source
lorsque une acl contient plusieurs rgles il est conseill de placer les rgles les
plus prcises en dbut et puis ajouter les rgles les plus gnriques
les acls etendus sont appliqus la plus proche au source
acls standard : de 1 99
acls etendus de 100 199
acls nomms : acls qui permet de identifier une ACL par un nom alphabetique
http avec tcp au port 80
acces-list 100 permit tcp any host 192.168.1.100 eq 80
: cette acl permet de n'importe quel machine de commnuiquer avec 192.168.1.100
(serveur http )
ip accesslist extended/standard monacl
permit icmp 192.168.0.0 0.0.0.255 host 192.168.1.100 : cette acl permet a n'importe
quelle machine de lancer un ping avec le host 192.168.1.100
ction> <protocole> <IP source> [port source] <IP dest> [port dest] [options]
pour verifier l"acl : show acces-list
l'acl etendue commence par : ip acces-list extended ....
il existe deux catgories d'acl :acl numrot et acl nomme
ndard IP access list 1
10 permit 192.168.0.0, wildcard bits 0.0.0.255
20 permit 192.168.1.0, wildcard bits 0.0.0.255
30 deny 192.168.0.0, wildcard bits 0.0.3.255
40 permit any
20,10,.......: ce sont des numros de sequence d'une acls :
on peut la supprimer : no 20 , no acces-list
on peut ajouter une acl avec un numero de acl : 20 ip acces list standard
in : applique lacl pour le traffic entrant sur l'interface
out : aplique l'acl pour le trafic sortant sur l'interface
verification : show acces-list 20
show acces-lists
---> in out
standard : la plus proche au destination int "routur"int : int se2/0
ip accesgroupe 100 in
ftp : 21
in/out : au niveau de interface in (dakhla mn linterface) out (kharja mn interface)

----------------------------------------------------------------------
une acces list est toujours criv la fin du acl :
access-list deny ip any any : pour l'acl etendue
standard on a une seule any
dns : udp ou tcp 53
hhtp : 80 tcp