Vous êtes sur la page 1sur 69

Chapitre 9 : Listes de contrôle d'accès

ADIL HILMANI 1
Chapitre 9 : Listes de contrôle d'accès

9.1.1.1 Qu'est-ce qu'une liste de contrôle d'accès ?


Une liste de contrôle d'accès (ou ACL) est une série de commandes IOS qui déterminent si un routeur achemine ou
abandonne les paquets en fonction des informations contenues dans l'en-tête de paquet. Les listes de contrôle
d'accès font partie des fonctionnalités les plus utilisées du logiciel Cisco IOS.

Une fois configurées, les listes de contrôle d'accès assurent les tâches suivantes :

• Elles limitent le trafic réseau pour accroître les performances réseau. Si la stratégie de l'entreprise interdit, par
exemple, le trafic vidéo sur le réseau, vous pouvez configurer et appliquer des listes de contrôle d'accès pour
bloquer ce trafic. Ainsi, la charge réseau est nettement réduite et les performances réseau sont sensiblement
améliorées.

• Elles contrôlent le flux de trafic. Les listes de contrôle d'accès peuvent limiter l'arrivée des mises à jour de
routage. Si aucune mise à jour n'est requise vu les conditions du réseau, la bande passante est préservée.

• Elles fournissent un niveau de sécurité de base pour l'accès réseau. Les listes de contrôle d'accès permettent à
un hôte d'accéder à une section du réseau tout en empêchant un autre hôte d'y avoir accès. Par exemple,
l'accès au réseau du département Ressources humaines peut être limité aux utilisateurs autorisés.

• Elles filtrent le trafic en fonction de son type. Ainsi, une liste de contrôle d'accès peut autoriser le trafic des e-
mails, mais bloquer tout le trafic Telnet.

• Elles filtrent les hôtes pour autoriser ou refuser l'accès aux services sur le réseau. Les listes de contrôle d'accès
peuvent autoriser ou refuser à un utilisateur l'accès à certains types de fichier, tels que FTP ou HTTP.

Par défaut, aucune liste de contrôle d'accès n'est configurée sur les routeurs. Par conséquent, les routeurs ne filtrent
pas le trafic, par défaut. Le trafic qui entre dans le routeur est routé uniquement en fonction des informations de la
table de routage. Toutefois, lorsqu'une liste de contrôle d'accès est appliquée à une interface, le routeur évalue en
outre tous les paquets réseau lorsqu'ils traversent l'interface pour déterminer s'ils peuvent être acheminés.

En dehors de l'autorisation ou du blocage du trafic, les listes de contrôle d'accès peuvent être utilisées pour
sélectionner les types de trafic à analyser, à acheminer et à traiter selon d'autres méthodes. Par exemple, les listes de
contrôle d'accès permettent de classer le trafic par ordre de priorité. Cette fonction s'assimile à une carte VIP pour un
concert ou un événement sportif. La carte VIP offre aux spectateurs privilégiés des avantages qui ne sont pas
proposés aux détenteurs d'un billet standard, notamment l'entrée prioritaire ou le droit d'accéder à une zone privée.

La figure présente un exemple de topologie sur laquelle des listes de contrôle d'accès sont appliquées.

ADIL HILMANI 2
Chapitre 9 : Listes de contrôle d'accès

9.1.1.2 Conversation TCP


Les listes de contrôle d'accès permettent aux administrateurs de contrôler le trafic entrant et sortant d'un réseau. Il
peut tout simplement s'agir d'autoriser ou de refuser le trafic en fonction des adresses réseau ou bien d'atteindre des
objectifs plus complexes, notamment contrôler le trafic réseau en fonction du port TCP demandé. Pour comprendre le
principe de filtrage du trafic appliqué par une liste de contrôle d'accès, le plus simple est d'examiner le dialogue qui
intervient dans une conversation TCP, notamment lorsque vous demandez une page Web.

Communication TCP

Lorsqu'un client demande des données à un serveur Web, le protocole IP gère les communications entre le PC
(source) et le serveur (destination). Le protocole TCP gère les communications entre le navigateur Web (application)
et le logiciel du serveur réseau.

Lorsque vous envoyez un e-mail, consultez une page Web ou téléchargez un fichier, le protocole TCP se charge de
répartir les données en segments pour IP avant leur envoi. TCP gère également l'assemblage des données à partir
des segments lorsqu'elles arrivent. Le processus TCP ressemble à une conversation dans laquelle deux nœuds se
transmettent des données sur un réseau.

TCP fournit un service de flux d'octets fiable et orienté connexion. « Orienté connexion » signifie que les deux
applications doivent établir une connexion TCP avant de pouvoir échanger des données. TCP est un protocole
bidirectionnel simultané. En d'autres termes, chaque connexion TCP prend en charge une paire de flux d'octets,
chaque flux étant unidirectionnel. TCP comprend un mécanisme de contrôle de flux pour chaque flux d'octets
permettant au récepteur de limiter le volume de données que l'expéditeur peut transmettre. TCP implémente
également un mécanisme de contrôle de l'encombrement.

L'animation proposée à la Figure 1 illustre une conversation TCP/IP. Les segments TCP sont identifiés par des
indicateurs qui décrivent leur objectif : une synchronisation (SYN) commence la session, ACK est un accusé de
réception signalant qu'un segment prévu a été reçu et un segment FIN termine la session. Un paquet SYN/ACK

ADIL HILMANI 3
Chapitre 9 : Listes de contrôle d'accès
confirme que le transfert est synchronisé. Les segments de données TCP comprennent le protocole de niveau
supérieur requis pour transmettre les données d'application à l'application appropriée.

Le segment de données TCP identifie également le port correspondant au service demandé. Par exemple, HTTP
correspond au port 80, SMTP au port 25 et FTP aux ports 20 et 21. La Figure 2 montre les plages des ports UDP et
TCP.

Les Figures 3 à 5 explorent les ports TCP/UDP.

ADIL HILMANI 4
Chapitre 9 : Listes de contrôle d'accès

9.1.1.3 Filtrage des paquets


Comment les listes de contrôle d'accès utilisent-elles les informations transmises lors d'une conversation TCP/IP pour
filtrer le trafic ?

Le filtrage des paquets, parfois appelé filtrage statique des paquets, contrôle l'accès à un réseau en analysant les
paquets entrants et sortants et en les transmettant ou en rejetant selon des critères spécifiques, tels que l'adresse IP
source, les adresses IP de destination et le protocole transporté dans le paquet.

Un routeur filtre les paquets lors de leur transmission ou de leur refus conformément aux règles de filtrage. Lorsqu'un
paquet arrive sur un routeur de filtrage des paquets, le routeur extrait certaines informations de l'en-tête de paquet.
Celles-ci lui permettent de décider si le paquet peut être acheminé ou non en fonction des règles de filtre configurées.
Comme le montre la figure, le filtrage des paquets peut fonctionner sur différentes couches du modèle OSI ou sur la
couche Internet du modèle TCP/IP.

ADIL HILMANI 5
Chapitre 9 : Listes de contrôle d'accès

Un routeur de filtrage de paquets utilise des règles pour déterminer s'il doit autoriser ou refuser le trafic. Un routeur
peut également effectuer le filtrage des paquets au niveau de la couche 4, la couche transport. Le routeur peut filtrer
les paquets en fonction des ports source et de destination du segment TCP ou UDP. Ces règles sont définies à l'aide
de listes de contrôle d'accès.

Une liste de contrôle d'accès est un ensemble séquentiel d'instructions d'autorisation ou de refus, appelées entrées
de contrôle d'accès (ACE). Les ACE sont couramment appelées des instructions de liste de contrôle d'accès. Des
ACE peuvent être créés pour filtrer le trafic en fonction de critères tels que l'adresse source, l'adresse de destination,
le protocole et les numéros de port. Lorsque le trafic réseau traverse une interface configurée avec une liste de
contrôle d'accès, le routeur compare les informations du paquet à chaque ACE, dans l'ordre séquentiel, afin de
déterminer si le paquet correspond à l'une des instructions. Si une correspondance est trouvée, le paquet est traité en
conséquence. Vous pouvez ainsi configurer des listes de contrôle d'accès en vue de contrôler l'accès à un réseau ou
à un sous-réseau.

Pour évaluer le trafic réseau, la liste de contrôle d'accès extrait les informations suivantes de l'en-tête de paquet de
couche 3 :

• Adresse IP source

• Adresse IP de destination

• Type de message ICMP

La liste de contrôle d'accès peut également extraire des informations de couche supérieure à partir de l'en-tête de
couche 4, notamment :

• Port source TCP/UDP

• Port de destination TCP/UDP

ADIL HILMANI 6
Chapitre 9 : Listes de contrôle d'accès

9.1.1.4 Filtrage des paquets (suite)

Exemple de filtrage des paquets

Pour comprendre comment un routeur utilise le filtrage des paquets, imaginez qu'un gardien a été placé devant une
porte verrouillée. Le gardien a reçu pour instruction de ne laisser passer que les personnes dont les noms figurent sur
une liste. Il filtre le passage des personnes conformément à la liste des noms autorisés. Les listes de contrôle d'accès
fonctionnent de la même façon et prennent des décisions en fonction de critères définis.

Par exemple, une liste de contrôle d'accès peut être configurée pour « autoriser l'accès Web aux utilisateurs du
réseau A, mais leur refuser l'accès à tous les autres services. Refuser l'accès HTTP aux utilisateurs du réseau B,
mais leur autoriser tous les autres accès. », et ce, de manière logique. Reportez-vous à la figure qui présente le
processus décisionnel suivi par le filtre de paquets pour accomplir cette tâche.

Dans ce scénario, le filtre de paquet vérifie chaque paquet comme suit :

• S'il s'agit d'un paquet SYN TCP du réseau A et qu'il utilise le port 80, son passage est autorisé. Tout autre accès
est refusé à ces utilisateurs.

• S'il s'agit d'un paquet SYN TCP du réseau B et qu'il utilise le port 80, son passage est bloqué. Néanmoins, tout
autre accès est autorisé.

ADIL HILMANI 7
Chapitre 9 : Listes de contrôle d'accès
Ceci n'est qu'un exemple. Plusieurs règles peuvent être configurées pour autoriser ou refuser plus précisément des
services aux utilisateurs spécifiques.

9.1.1.5 Fonctionnement des listes de contrôle d'accès


Les listes de contrôle d'accès définissent des règles de contrôle pour les paquets arrivant par les interfaces d'entrée,
passant par le routeur et atteignant leur destination par les interfaces de sortie. Elles ne gèrent pas les paquets
provenant du routeur lui-même.

Les listes de contrôle d'accès sont configurées pour s'appliquer au trafic entrant ou sortant, comme le montre la
figure.

• Listes de contrôle d'accès entrantes : les paquets entrants sont traités avant d'être routés vers l'interface de
sortie. Une liste de contrôle d'accès entrante est efficace car elle réduit la charge des recherches de routage en
cas d'abandon du paquet. Si le paquet est autorisé à l'issue des tests, il est soumis au routage. Les listes de
contrôle d'accès entrantes sont idéales pour filtrer les paquets lorsque le réseau relié à une interface d'entrée est
la seule source des paquets devant être inspectés.

• Listes de contrôle d'accès sortantes : les paquets entrants sont acheminés vers l'interface de sortie, puis
traités par le biais de la liste de contrôle d'accès sortante. Les listes de contrôle d'accès sortantes sont
particulièrement efficaces lorsqu'un même filtre est appliqué aux paquets provenant de plusieurs interfaces
d'entrée avant de quitter la même interface de sortie.

La dernière instruction d'une liste de contrôle d'accès est toujours une instruction implicit deny. Cette instruction est
automatiquement ajoutée à la fin de chaque liste de contrôle d'accès, même si elle n'est pas physiquement présente.
L'instruction implicit deny bloque l'ensemble du trafic. En raison de ce refus implicite, une liste de contrôle d'accès qui
n'a pas au moins une instruction d'autorisation bloquera tout le trafic.

9.1.2.1 Types de listes de contrôle d'accès IPv4 Cisco


Il existe deux types de listes de contrôle d'accès IPv4 Cisco : les listes standard et les listes étendues.

Remarque : les listes de contrôle d'accès IPv6 Cisco sont similaires aux listes de contrôle d'accès étendues IPv4 et
sont traitées dans la suite du cours.

Listes de contrôle d'accès standard

Les listes de contrôle d'accès standard peuvent être utilisées pour autoriser ou refuser le trafic uniquement depuis des
adresses IPv4 source. La destination du paquet et les ports concernés ne sont pas évalués. L'exemple de la Figure 1
autorise tout le trafic provenant du réseau 192.168.30.0/24. Compte tenu de l'instruction implicite « deny any » à la fin
de la liste, tout autre trafic est bloqué avec cette liste. Les listes de contrôle d'accès standard sont créées en mode de
configuration globale.

ADIL HILMANI 8
Chapitre 9 : Listes de contrôle d'accès

Listes de contrôle d'accès étendues

Les listes de contrôle d'accès étendues filtrent les paquets IPv4 en fonction de différents critères :

• Type de protocole

• Adresse IPv4 source

• Adresse IPv4 de destination

• Ports TCP ou UDP source

• Ports TCP ou UDP de destination

• Informations facultatives sur le type de protocole pour un contrôle plus précis

Sur la Figure 2, la liste de contrôle d'accès 103 autorise tout le trafic provenant des adresses du réseau
192.168.30.0/24 à entrer sur n'importe quel réseau IPv4 si le port de destination de l'hôte est 80 (HTTP). Les listes de
contrôle d'accès étendues sont créées en mode de configuration globale.

Les commandes pour ces listes sont décrites dans les quelques rubriques suivantes.

Remarque : les listes de contrôle d'accès standard et étendues sont expliquées plus en détail dans la suite de ce
chapitre.

9.1.2.2 Numérotation et attribution d'un nom aux listes de contrôle d'accès


Les listes de contrôle d'accès standard et étendues et leur liste d'instructions peuvent être identifiées par un numéro
ou par un nom.

Les listes de contrôle d'accès numérotées sont pratiques pour déterminer le type de liste sur des réseaux de petite
taille dont la définition du trafic est plus homogène. Toutefois, le numéro n'indique pas la fonction d'une liste de
contrôle d'accès. C'est pourquoi, depuis la version 11.2 de Cisco IOS, vous pouvez utiliser un nom pour identifier une
liste de contrôle d'accès Cisco.

ADIL HILMANI 9
Chapitre 9 : Listes de contrôle d'accès
La figure résume les règles à suivre pour attribuer des numéros ou des noms aux listes de contrôle d'accès.

Concernant les listes de contrôle d'accès numérotées, les numéros 200 à 1 299 ne sont disponibles, car ils sont
utilisés par d'autres protocoles dont la plupart sont anciens ou obsolètes. Le cours porte sur les listes de contrôle
d'accès IP uniquement. Par exemple les numéros de protocole ACL 600 à 699 sont utilisés par Appletalk et les
numéros 800 à 899 par IPX, deux protocoles anciens.

9.1.3.1 Initiation au masque générique de liste de contrôle d'accès


Masque générique

Les listes de contrôle d'accès IPv4 incluent l'utilisation de masques génériques. Un masque générique est une chaîne
de 32 chiffres binaires utilisés par le routeur pour déterminer quels bits de l'adresse examiner afin d'établir une
correspondance.

Remarque : à la différence des listes de contrôle d'accès IPv4, les listes de contrôle d'accès IPv6 n'utilisent pas de
masques génériques. Au lieu de cela, la longueur de préfixe est utilisée pour indiquer dans quelle mesure l'adresse
IPv6 source ou de destination doit correspondre. Les listes de contrôle d'accès IPv6 sont traitées plus loin dans ce
chapitre.

Comme les masques de sous-réseau, les chiffres 1 et 0 du masque générique indiquent comment traiter les bits
d'adresse IP correspondants. Cependant, dans un masque générique, ces bits sont utilisés à d'autres fins et suivent
des règles différentes.

Les masques de sous-réseau utilisent les chiffres binaires 1 et 0 pour identifier la partie réseau, la partie sous-réseau
et la partie hôte d'une adresse IP. Les masques génériques utilisent les chiffres binaires 1 et 0 pour filtrer des
adresses IP ou des groupes d'adresses IP, afin d'autoriser ou de refuser l'accès aux ressources.

Les masques génériques et les masques de sous-réseau diffèrent dans leur méthode de mise en correspondance des
1 et des 0 binaires. Les masques génériques respectent les règles suivantes pour faire correspondre les chiffres
binaires 1 et 0 :

• Bit 0 de masque générique : permet de vérifier la valeur du bit correspondant dans l'adresse.

• Bit 1 de masque générique : permet d'ignorer la valeur du bit correspondant dans l'adresse.

ADIL HILMANI 10
Chapitre 9 : Listes de contrôle d'accès
La Figure 1 montre comment les différents masques génériques filtrent les adresses IP. Dans l'exemple, n'oubliez pas
que le chiffre binaire 0 indique un bit qui doit correspondre et que le chiffre binaire 1 représente un bit qui peut être
ignoré.

Remarque : les masques génériques sont souvent appelés masques inverses. En effet, contrairement à un masque
de sous-réseau, où le chiffre binaire 1 équivaut à une correspondance et le chiffre binaire 0 à une non-
correspondance, les masques génériques procèdent de façon inverse.

Utilisation d'un masque générique

Le tableau de la Figure 2 présente les résultats obtenus après l'application d'un masque générique 0.0.255.255 à une
adresse IPv4 32 bits. N'oubliez pas que le chiffre binaire 0 équivaut à une valeur renvoyant une correspondance.

Les masques génériques sont également utilisés lors de la configuration de certains protocoles de routage IPv4 tels
que le protocole OSPF, pour les activer sur des interfaces spécifiques.

9.1.3.2 Exemples de masques génériques

Masques génériques correspondant à des sous-réseaux IPv4

ADIL HILMANI 11
Chapitre 9 : Listes de contrôle d'accès
Le calcul du masque générique demande un peu de pratique. La Figure 1 présente trois exemples de masques
génériques.

Dans le premier exemple, le masque générique stipule que chaque bit de l'adresse IPv4 192.168.1.1 doit avoir une
correspondance exacte.

Dans le deuxième exemple, le masque générique indique que la correspondance est systématique.

Dans le troisième exemple, le masque générique stipule que tous les hôtes du réseau 192.168.1.0/24 correspondent.

Ces exemples sont relativement simples. Cependant, le calcul des masques génériques peut être plus complexe.

Masques génériques correspondant à des plages

Les deux exemples de la Figure 2 sont plus complexes. Dans l'exemple 1, les deux premiers octets et les quatre
premiers bits du troisième octet doivent présenter une correspondance exacte. Les quatre derniers bits du troisième
octet et le dernier octet peuvent être n'importe quel nombre valide. Par conséquent, le masque vérifie la plage des
réseaux 192.168.16.0 à 192.168.31.0.

L'exemple 2 représente un masque générique avec une correspondance des deux premiers octets et du bit le moins
significatif du troisième octet. Le dernier octet et les sept premiers bits du troisième octet peuvent être n'importe quel
nombre valide. Ainsi, vous avez un masque qui autorise ou refuse tous les hôtes de sous-réseau depuis le réseau
principal 192.168.0.0.

ADIL HILMANI 12
Chapitre 9 : Listes de contrôle d'accès

9.1.3.3 Calcul du masque générique

Le calcul des masques génériques peut être complexe. La méthode la plus rapide consiste à soustraire le masque de
sous-réseau de 255.255.255.255.

Calcul du masque générique : exemple 1

Dans le premier exemple de la figure, supposons que vous souhaitiez autoriser l'accès de tous les utilisateurs du
réseau 192.168.3.0. Sachant que le masque de sous-réseau est 255.255.255.0, vous pouvez utiliser 255.255.255.255
et y soustraire le masque de sous-réseau 255.255.255.0. Cette solution génère le masque générique 0.0.0.255.

Calcul du masque générique : exemple 2

Dans le deuxième exemple de la figure, supposons que vous souhaitiez autoriser les 14 utilisateurs du sous-réseau
192.168.3.32/28 à accéder au réseau. Le masque du sous-réseau IP est 255.255.255.240. Nous utilisons donc
255.255.255.255 et y soustrayons le masque de sous-réseau 255.255.255.240. Cette solution génère le masque
générique 0.0.0.15.

ADIL HILMANI 13
Chapitre 9 : Listes de contrôle d'accès

Calcul du masque générique : exemple 3

Dans le troisième exemple, supposons que vous souhaitiez faire correspondre uniquement les réseaux 192.168.10.0
et 192.168.11.0. Utilisons 255.255.255.255 et soustrayons le masque de sous-réseau normal, à savoir 255.255.252.0
dans cet exemple. Cette solution génère 0.0.1.255.

Vous pouvez obtenir le même résultat en utilisant des instructions telles que les suivantes :

R1(config)# access-list 10 permit 192.168.10.0

R1(config)# access-list 10 permit 192.168.11.0

Il est bien plus efficace de configurer le masque générique de la manière suivante :

R1(config)# access-list 10 permit 192.168.10.0 0.0.1.255

Étudiez la configuration ci-dessous pour mettre en correspondance les réseaux de la plage 192.168.16.0 à
192.168.31.0 :

R1(config)# access-list 10 permit 192.168.16.0

R1(config)# access-list 10 permit 192.168.17.0

R1(config)# access-list 10 permit 192.168.18.0

R1(config)# access-list 10 permit 192.168.19.0

R1(config)# access-list 10 permit 192.168.20.0

R1(config)# access-list 10 permit 192.168.21.0

R1(config)# access-list 10 permit 192.168.22.0

R1(config)# access-list 10 permit 192.168.23.0

R1(config)# access-list 10 permit 192.168.24.0

R1(config)# access-list 10 permit 192.168.25.0

R1(config)# access-list 10 permit 192.168.26.0

R1(config)# access-list 10 permit 192.168.27.0

R1(config)# access-list 10 permit 192.168.28.0

R1(config)# access-list 10 permit 192.168.29.0

ADIL HILMANI 14
Chapitre 9 : Listes de contrôle d'accès
R1(config)# access-list 10 permit 192.168.30.0

R1(config)# access-list 10 permit 192.168.31.0

Les 16 instructions de configuration précédentes peuvent être réduites en une seule instruction en utilisant le masque
générique approprié comme indiqué ci-dessous :

R1(config)# access-list 10 permit 192.168.16.0 0.0.15.255

9.1.3.4 Mots-clés de masque générique


Mots-clés des bits de masque générique

Travailler avec des représentations décimales de bits de masque générique peut être fastidieux. Les mots-
clés host(hôte) et any (tous) permettent d'identifier les utilisations les plus courantes des masques génériques, et
simplifient ainsi cette tâche. Ils suppriment la saisie des masques génériques lorsque vous identifiez un hôte
spécifique ou un réseau. Ces mots-clés facilitent également la lecture d'une liste de contrôle d'accès en offrant des
indices visuels comme la source ou la destination des critères.

Le mot-clé host remplace le masque 0.0.0.0. Ce masque indique que tous les bits de l'adresse IPv4 doivent
correspondre ou qu'un seul hôte est conforme.

Le mot-clé any remplace l'adresse IP et le masque 255.255.255.255. Ce masque indique qu'il convient d'ignorer
l'intégralité de l'adresse IPv4 ou d'accepter n'importe quelle adresse.

Exemple 1 : processus de masque générique avec une adresse IP unique

Dans l'exemple 1 de la figure, au lieu de saisir 192.168.10.10 0.0.0.0, vous pouvez utiliser host
192.168.10.10.

Exemple 2 : processus de masque générique avec une adresse IP à concordance quelconque

Dans l'exemple 2 de la figure, au lieu de saisir 0.0.0.0 255.255.255.255, vous pouvez utiliser le mot-
clé any seul.

Remarque : les mots-clés host et any peuvent également être utilisés lors de la configuration d'une liste de contrôle
d'accès IPv6.

ADIL HILMANI 15
Chapitre 9 : Listes de contrôle d'accès

9.1.3.5 Exemples de mots-clés de masque générique

Les mots-clés any et host

L'exemple 1 de la figure indique comment utiliser le mot-clé any pour remplacer l'adresse IPv4 0.0.0.0, avec un
masque générique 255.255.255.255.

L'exemple 2 montre comment utiliser le mot-clé host pour remplacer le masque générique lors de l'identification d'un
hôte unique.

9.1.3.6 Exercice : détermination du masque générique approprié

ADIL HILMANI 16
Chapitre 9 : Listes de contrôle d'accès

9.1.3.7 Exercice : détermination de l'autorisation ou du refus

9.1.4.1 Directives générales sur la création de listes de contrôle d'accès


L'écriture des listes de contrôle d'accès peut être une tâche complexe. Pour chaque interface, plusieurs stratégies
peuvent être nécessaires pour gérer le type de trafic autorisé à entrer dans cette interface ou en sortir. Le routeur
représenté sur la figure dispose de deux interfaces configurées pour IPv4 et IPv6. Si nous avions besoin de listes de
contrôle d'accès pour les deux protocoles, sur les deux interfaces et dans les deux directions, nous aurions besoin de
huit listes de contrôle d'accès distinctes. Chaque interface possèderait quatre listes de contrôle d'accès : deux pour
IPv4 et deux pour IPv6. Pour chaque protocole, une liste de contrôle d'accès sert au trafic entrant et une autre au
trafic sortant.

ADIL HILMANI 17
Chapitre 9 : Listes de contrôle d'accès

Remarque : il n'est pas nécessaire de configurer les listes de contrôle d'accès dans les deux directions. Le nombre
de listes de contrôle d'accès et leur direction appliquée à l'interface dépendront des exigences.

Vous trouverez ci-dessous quelques instructions pour utiliser les listes de contrôle d'accès :

• Utilisez des listes de contrôle d'accès sur les routeurs pare-feu entre votre réseau interne et un réseau externe,
par exemple Internet.

• Utilisez des listes de contrôle d'accès sur un routeur situé entre deux sections de votre réseau pour contrôler le
trafic entrant ou sortant sur une partie donnée du réseau interne.

• Configurez des listes de contrôle d'accès sur les routeurs périphériques situés à la périphérie de vos réseaux.
Cela permet de fournir une protection de base contre le réseau externe ou entre une zone plus sensible et une
zone moins contrôlée de votre réseau.

• Configurez des listes de contrôle d'accès pour tout protocole réseau configuré sur les interfaces de routeur
périphérique.

Règle des trois P

Pour retenir la règle générale d'application des listes de contrôle d'accès, il suffit de se souvenir des trois P. Vous
pouvez configurer une liste de contrôle d'accès par protocole, par direction et par interface :

• Une liste de contrôle d'accès par protocole : pour contrôler le flux du trafic sur une interface, définissez une
liste de contrôle d'accès pour chaque protocole activé sur l'interface.

• Une liste de contrôle d'accès par direction : les listes de contrôle d'accès contrôlent le trafic dans une seule
direction à la fois sur une interface. Vous devez créer deux listes de contrôle d'accès ; la première pour contrôler
le trafic entrant et la seconde pour contrôler le trafic sortant.

• Une liste de contrôle d'accès par interface : les listes de contrôle d'accès contrôlent le trafic dans une seule
interface, par exemple, Gigabit Ethernet 0/0.

ADIL HILMANI 18
Chapitre 9 : Listes de contrôle d'accès

9.1.4.2 Méthodes recommandées pour les listes de contrôle d'accès


L'utilisation des listes de contrôle d'accès nécessite beaucoup de précision et de soin. Les erreurs peuvent vous
coûter cher et se solder par des pannes de réseau, d'importants efforts de dépannage et des services réseau
médiocres. Avant de configurer une liste de contrôle d'accès, une planification de base s'impose. La figure décrit les
directives fondamentales des meilleures pratiques en matière de listes de contrôle d'accès.

9.1.5.1 Positionnement des listes de contrôle d'accès


Le positionnement approprié d'une liste de contrôle d'accès peut optimiser l'efficacité du réseau. Une liste de contrôle
d'accès peut être placée de sorte à réduire le trafic superflu. Par exemple, le trafic qui sera refusé sur une destination
distante ne doit pas être acheminé à l'aide de ressources réseau situées sur la route menant à cette destination.

Chaque liste de contrôle d'accès doit être placée là où elle aura le plus grand impact sur les performances. Comme le
montre la figure, les règles de base sont les suivantes :

• Listes de contrôle d'accès étendues : placez les listes de contrôle d'accès étendues le plus près possible de
la source du trafic à filtrer. De cette manière, le trafic indésirable est refusé près du réseau source et ne traverse
pas l'infrastructure réseau.

• Listes de contrôle d'accès standard : étant donné que les listes de contrôle d'accès standard ne précisent pas
les adresses de destination, placez-les le plus près possible de la destination. Le fait de placer une liste de
contrôle d'accès standard à la source du trafic empêche efficacement ce trafic d'accéder à tous les autres
réseaux via l'interface à laquelle la liste est appliquée.

La position de la liste de contrôle d'accès et donc le type de liste utilisé peuvent également dépendre des
caractéristiques suivantes :

• Le contrôle de l'administrateur réseau : la position de la liste de contrôle d'accès peut être différente si
l'administrateur réseau contrôle à la fois les réseaux source et de destination.

• Bande passante des réseaux concernés : le filtrage du trafic indésirable à la source empêche la transmission
du trafic avant qu'il consomme de la bande passante sur le chemin vers une destination. Cela est
particulièrement important sur les réseaux à faible bande passante.

• Facilité de configuration : si un administrateur réseau souhaite refuser le trafic provenant de plusieurs réseaux,
il est possible d'utiliser une seule liste de contrôle d'accès standard sur le routeur le plus proche de la
destination. L'inconvénient est que le trafic de ces réseaux « gaspille » de la bande passante. Une liste de
contrôle d'accès étendue peut être utilisée sur chaque routeur d'où provient le trafic. Cela permet d'économiser

ADIL HILMANI 19
Chapitre 9 : Listes de contrôle d'accès
de la bande passante en filtrant le trafic à la source, mais nécessite la création de listes de contrôle d'accès
étendues sur plusieurs routeurs.

Remarque : pour la certification CCNA, la règle générale est de placer les listes de contrôle d'accès étendues aussi
près que possible de la source et les listes de contrôle d'accès standard aussi près que possible de la destination.

9.1.5.2 Position de l'ACL standard

Les listes de contrôle d'accès standard permettent uniquement de filtrer le trafic en fonction d'une adresse source. Le
principe de base consiste donc à placer la liste de contrôle d'accès standard aussi près que possible du réseau de
destination. Cela permet au trafic d'accéder à tous les autres réseaux à l'exception de celui où les paquets sont filtrés.

Sur la figure, l'administrateur souhaite empêcher le trafic provenant du réseau 192.168.10.0/24 d'accéder au réseau
192.168.30.0/24.

Si la liste de contrôle d'accès standard est placée sur l'interface de sortie de R1, cela empêche le trafic sur le réseau
192.168.10.0/24 d'accéder à tous les réseaux accessibles via l'interface Serial 0/0/0 de R1.

La figure représente deux interfaces sur R3, sur lesquelles il est possible d'appliquer la liste de contrôle d'accès
standard conformément aux instructions de placement de base :

• Interface S0/0/1 sur R3 : l'application d'une liste de contrôle d'accès standard pour empêcher le trafic provenant
du réseau 192.168.10.0/24 d'accéder à l'interface S0/0/1 empêche ce trafic d'accéder à 192.168.30.0/24 et à
tous les autres réseaux accessibles par R3, y compris le réseau 192.168.31.0/24. L'objectif de la liste de
contrôle d'accès étant de filtrer le trafic destiné uniquement au réseau 192.168.30.0/24, aucune liste de contrôle
d'accès standard ne doit être appliquée à cette interface.

ADIL HILMANI 20
Chapitre 9 : Listes de contrôle d'accès
• Interface G0/0 de R3 : l'application de la liste de contrôle d'accès standard au trafic sortant de l'interface G0/0
filtre les paquets provenant de 192.168.10.0/24 et destinés à 192.168.30.0/24. Cela n'affecte pas les autres
réseaux accessibles par R3. Les paquets provenant de 192.16810.0/24 peuvent toujours accéder au réseau
192.168.31.0/24.

9.1.5.3 Emplacement de la liste de contrôle d'accès étendue


Comme les listes de contrôle d'accès standard, les listes de contrôle d'accès étendues peuvent filtrer le trafic en
fonction de l'adresse source. Cependant, une liste de contrôle d'accès étendue peut également filtrer le trafic en
fonction de l'adresse de destination, du protocole et du numéro de port. Cela offre aux administrateurs réseau
davantage de flexibilité au niveau du type de trafic pouvant être filtré et de la position de la liste. La règle de base pour
le placement des listes de contrôle d'accès étendues consiste à les placer aussi près que possible de la source. Cela
empêche le trafic indésirable d'être envoyé sur plusieurs réseaux pour être finalement refusé lorsqu'il atteint sa
destination.

Les administrateurs réseau peuvent placer des listes de contrôle d'accès uniquement sur les périphériques qu'ils
contrôlent. Par conséquent, cet emplacement doit être déterminé par la portée du contrôle dont dispose
l'administrateur réseau. Sur la figure, l'administrateur de la société A, qui comprend les réseaux 192.168.10.0/24 et
192.168.11.0/24 (appelés .10 et .11 dans cet exemple), souhaite contrôler le trafic vers la société B. En particulier,
l'administrateur souhaite refuser le trafic Telnet et FTP provenant du réseau .11 vers le réseau 192.168.30.0/24 (.30,
dans cet exemple) de la société B. Dans un même temps, le reste du trafic provenant du réseau .11 doit être autorisé
à quitter la société A sans aucune restriction.

Il existe plusieurs façons d'atteindre ces objectifs. Une liste de contrôle d'accès étendue placée sur R3 et bloquant le
trafic Telnet et FTP provenant du réseau .11 serait une solution, mais l'administrateur ne contrôle pas R3. En outre,
cette solution autorise le passage du trafic indésirable sur l'ensemble du réseau avant de le bloquer lorsqu'il arrive à
destination. Cette situation affecte les performances réseau globales.

Il est plus judicieux de placer une liste de contrôle d'accès étendue sur R1, qui spécifie les adresses source et de
destination (réseaux .11 et .30, respectivement) et applique la règle « Le trafic Telnet et FTP provenant du réseau .11
n'est pas autorisé à accéder au réseau .30 ». La figure montre deux interfaces de R1 sur lesquelles il est possible
d'appliquer la liste de contrôle d'accès étendue :

ADIL HILMANI 21
Chapitre 9 : Listes de contrôle d'accès
• Interface S0/0/0 de R1 (sortante) : il est possible d'appliquer une liste de contrôle d'accès étendue sortante sur
l'interface S0/0/0. Étant donné que la liste de contrôle d'accès étendue peut examiner les adresses source et de
destination, seuls les paquets FTP et Telnet provenant de 192.168.11.0/24 seront refusés. Le reste du trafic
provenant de 192.168.11.0/24 et des autres réseaux sera acheminé par R1. L'inconvénient de cette position de
la liste de contrôle d'accès étendue sur l'interface est que tout le trafic sortant de S0/0/0 doit être traité par la liste
de contrôle d'accès, y compris les paquets provenant de 192.168.10.0/24.

• Interface G0/1 de R1 (entrante) : l'application d'une liste contrôle d'accès étendue au trafic entrant dans
l'interface G0/1 signifie que seuls les paquets provenant du réseau 192.168.11.0/24 sont soumis à la liste de
contrôle sur R1. Puisque le filtre doit être limité aux seuls paquets quittant le réseau 192.168.11.0/24,
l'application de la liste de contrôle d'accès étendue à G0/1 constitue la meilleure solution.

ADIL HILMANI 22
Chapitre 9 : Listes de contrôle d'accès

9.2.1.1 Saisie des instructions de critères


Lorsque le trafic entre dans le routeur, il est comparé à toutes les entrées de contrôle d'accès dans l'ordre dans lequel
ces entrées apparaissent dans la liste de contrôle d'accès. Le routeur continue à traiter les ACE jusqu'à ce qu'il trouve
une correspondance. Le routeur traite le paquet en fonction de la première correspondance trouvée et aucune autre
ACE ne sera inspectée.

Si aucune correspondance n'est trouvée, lorsque le routeur atteint la fin de la liste, le trafic est refusé. Ceci est dû au
fait que, par défaut, il existe un refus implicite à la fin de toutes les listes de contrôle d'accès pour le trafic qui ne
correspond à aucune entrée configurée. Si vous avez une liste de contrôle d'accès à entrée unique, et que celle-ci est
une entrée de refus, tout le trafic sera refusé. Au moins une ACE d'autorisation doit être configurée dans toute liste de
contrôle d'accès. Sinon, tout le trafic est bloqué.

Pour le réseau sur la figure, l'application de la liste de contrôle d'accès 1 ou 2 à l'interface S0/0/0 de R1 vers la sortie
aura le même effet. Le réseau 192.168.10.0 sera autorisé à accéder aux réseaux accessibles via S0/0/0 alors que
192.168.11.0 ne sera pas autorisé à y accéder.

9.2.1.2 Configuration d'une liste de contrôle d'accès standard


Logique de la liste de contrôle d'accès standard

Sur la figure, l'adresse source des paquets qui entrent dans le routeur via l'interface G0/0 est examinée en fonction
des entrées suivantes :

access-list 2 deny 192.168.10.10

access-list 2 permit 192.168.10.0 0.0.0.255

ADIL HILMANI 23
Chapitre 9 : Listes de contrôle d'accès

access-list 2 deny 192.168.0.0 0.0.255.255

access-list 2 permit 192.0.0.0 0.255.255.255

Lorsque les paquets sont autorisés, ils sont acheminés vers une interface de sortie par le routeur. Si les paquets sont
refusés, ils sont abandonnés sur l'interface d'entrée.

9.2.1.3 Configuration d'une liste de contrôle d'accès standard (suite)


Configuration de listes de contrôle d'accès standard

Pour utiliser des listes de contrôle d'accès standard numérotées sur un routeur Cisco, vous devez d'abord créer la
liste de contrôle d'accès standard, puis l'activer sur une interface.

La commande de configuration globale access-list définit une liste de contrôle d'accès standard associée à un
numéro compris entre 1 et 99. La version 12.0.1 du logiciel Cisco IOS a élargi cette plage de numéros et permet
d'attribuer les numéros 1 300 à 1 999 aux listes de contrôle d'accès standard. Cela permet d'obtenir un maximum de
798 listes de contrôle d'accès standard. Ces numéros supplémentaires sont appelés des listes de contrôle d'accès IP
étendues.

La syntaxe complète de la commande des listes de contrôle d'accès standard est la suivante :

Router(config)# access-list access-list-number {deny |permit | remark} source [source-


wildcard][ log ]

La Figure 1 explique en détail la syntaxe d'une liste de contrôle d'accès standard.

ADIL HILMANI 24
Chapitre 9 : Listes de contrôle d'accès

Les ACE peuvent autoriser ou refuser un hôte ou une plage d'adresses d'hôte. Pour créer une instruction d'hôte dans
la liste de contrôle d'accès 10 qui autorise un hôte spécifique possédant l'adresse IP 192.168.10.0, vous devrez
saisir :

R1(config)# access-list 10 permit host 192.168.10.10

Comme l'illustre la Figure 2, pour créer une instruction autorisant une plage d'adresses IPv4 dans une liste de
contrôle d'accès numérotée ACL 10 qui autorise toutes les adresses IPv4 du réseau 192.168.10.0/24, vous devez
saisir :

R1(config)# access-list 10 permit 192.168.10.0 0.0.0.255

Pour supprimer la liste de contrôle d'accès, la commande de configuration globale no access-list est utilisée. La
commande show access-list permet de vérifier que la liste d'accès 10 a été supprimée.

ADIL HILMANI 25
Chapitre 9 : Listes de contrôle d'accès

En général, lorsqu'un administrateur crée une liste de contrôle d'accès, il connait et comprend la fonction de chaque
instruction. Cependant, pour s'assurer que l'administrateur et d'autres intervenants se souviennent de l'objectif d'une
instruction, il est important d'ajouter des remarques. Le mot-clé remark est utilisé à des fins de documentation et
rend les listes de contrôle d'accès bien plus simples à comprendre. Chaque remarque comporte 100 caractères au
maximum. La liste de contrôle d'accès de la figure 3 est relativement simple ; elle est utilisée à des fins d'illustration.
Lorsque l'on consulte la liste de contrôle d'accès dans la configuration à l'aide de la commande show running-
config, la remarque s'affiche également.

9.2.1.4 Logique interne


Cisco IOS applique une logique interne lorsqu'il accepte et traite les entrées de contrôle d'accès (ACE). Comme
évoqué précédemment, les ACE sont traitées de manière séquentielle. Par conséquent, l'ordre dans lequel elles sont
saisies est important.

Par exemple, sur la Figure 1, ACL 3 contient deux entrées. La première ACE utilise un masque générique pour
refuser une plage d'adresses comprenant tous les hôtes du réseau 192.168.10.0/24. La deuxième ACE est une
instruction d'hôte qui concerne un hôte spécifique : 192.168.10.10. Il s'agit d'un hôte de la plage configurée dans
l'instruction précédente. En d'autres termes, 192.168.10.10 est un hôte du réseau 192.168.10.0/24. La logique interne
d'IOS appliquée aux listes de contrôle d'accès standard rejette la deuxième instruction et renvoie un message
d'erreur, car il s'agit d'un sous-ensemble de l'instruction précédente. Observez sur la figure que le routeur attribue
automatiquement le numéro d'ordre 10 à la première instruction saisie dans cet exemple. Le résultat du routeur inclut
le message indiquant que la règle fait partie de la règle existante au numéro d'ordre 10 (« part of the existing rule at
sequence num 10 »).

Remarque : à l'heure actuelle, les listes de contrôle d'accès étendues ne produisent pas d'erreur similaire.

La configuration de l'ACL 4 représentée à la Figure 2 contient les deux mêmes instructions, mais dans l'ordre inverse.
Il s'agit d'une séquence valide d'instructions, car la première instruction se rapporte à un hôte spécifique et non à une
plage d'hôtes.

ADIL HILMANI 26
Chapitre 9 : Listes de contrôle d'accès

Sur la Figure 3, l'ACL 5 montre qu'une instruction d'hôte peut être configurée après une instruction qui désigne une
plage d'hôtes. L'hôte ne doit pas se trouver dans une plage couverte par une instruction précédente. L'adresse d'hôte
192.168.11.10 ne fait pas partie du réseau 192.168.10.0/24. Il s'agit donc d'une instruction valide.

Remarque : l'ordre dans lequel les ACE standard sont saisies peut être différent de l'ordre dans lequel elles sont
enregistrées, affichées ou traitées par le routeur. Ce sujet sera abordé dans une section ultérieure.

9.2.1.5 Application de listes de contrôle d'accès standard aux interfaces


Procédures de configuration des listes de contrôle d'accès standard

Une fois qu'une liste de contrôle d'accès standard est configurée, elle est associée à une interface à l'aide de la
commande ip access-group en mode de configuration d'interface :

Router(config-if)# ip access-group { access-list-number |access-list-name } { in | out }

Pour supprimer une liste de contrôle d'accès IP d'une interface, entrez d'abord la commande no ip access-
group sur l'interface, puis la commande globale no access-list pour supprimer l'ensemble de la liste.

La Figure 1 décrit les étapes à suivre et la syntaxe à adopter pour configurer et appliquer une liste de contrôle d'accès
standard numérotée sur un routeur.

ADIL HILMANI 27
Chapitre 9 : Listes de contrôle d'accès

La Figure 2 présente un exemple de liste de contrôle d'accès autorisant un seul réseau.

Cette liste autorise uniquement le trafic provenant du réseau source 192.168.10.0 à sortir de l'interface S0/0/0. Le
trafic provenant de réseaux autres que 192.168.10.0 est bloqué.

La première ligne identifie la liste de contrôle d'accès numérotée 1. Elle autorise le trafic correspondant aux
paramètres sélectionnés. Dans ce cas, l'adresse IPv4 et le masque générique identifiant le réseau source sont
192.168.10.0 0.0.0.255. Rappelez-vous qu'il existe une instruction de refus global implicite access-list 1 deny
0.0.0.0 255.255.255.255.

ADIL HILMANI 28
Chapitre 9 : Listes de contrôle d'accès

La commande de configuration d'interface ip access-group 1 out relie l'ACL 1 à l'interface Serial 0/0/0 en tant
que filtre sortant.

C'est pourquoi l'ACL 1 autorise uniquement les hôtes provenant du réseau 192.168.10.0/24 à quitter le routeur R1.
Tout autre réseau est refusé, notamment 192.168.11.0.

9.2.1.6 Application de listes de contrôle d'accès standard aux interfaces


(suite)
La Figure 1 présente un exemple de liste de contrôle d'accès permettant une exception pour un hôte spécifique d'un
sous-réseau.

Cette liste de contrôle d'accès remplace l'exemple précédent, mais bloque également le trafic provenant d'une
adresse précise. La première commande supprime la version précédente de l'ACL 1. La prochaine instruction de la
liste de contrôle d'accès refuse l'hôte PC1 sur le réseau 192.168.10.10. Un hôte sur deux du réseau 192.168.10.0/24
est autorisé. L'instruction de refus implicite fait correspondre un réseau sur deux.

La liste de contrôle d'accès est réappliquée à l'interface S0/0/0 dans la direction sortante.

La Figure 2 montre un exemple de liste de contrôle d'accès refusant un hôte spécifique. Cette liste de contrôle
d'accès remplace l'exemple précédent. Cet exemple bloque toujours le trafic provenant de l'hôte PC1, mais autorise le
reste du trafic.

Les deux premières commandes sont identiques à celles de l'exemple précédent. La première commande supprime la
version précédente de l'ACL 1. La prochaine instruction de la liste de contrôle d'accès refuse l'hôte PC1 situé sur le
réseau 192.168.10.10.

La troisième ligne est nouvelle et autorise tous les autres hôtes. Cela signifie que tous les hôtes du réseau
192.168.10.0/24 seront autorisés sauf PC1 qui a été refusé dans l'instruction précédente.

ADIL HILMANI 29
Chapitre 9 : Listes de contrôle d'accès

Cette liste de contrôle d'accès est appliquée à l'interface G0/0 dans la direction entrante. Étant donné que le filtre
affecte uniquement le réseau local 192.168.10.0/24 sur l'interface G0/0, il est plus judicieux d'appliquer la liste de
contrôle d'accès à l'interface d'entrée. La liste de contrôle d'accès pourrait être appliquée à l'interface S0/0/0 dans la
direction sortante, mais dans ce cas, R1 devrait examiner les paquets provenant de tous les réseaux, y
compris 192.168.11.0/24.

9.2.1.7 Création de listes de contrôle d'accès standard nommées


Si vous attribuez un nom à une liste de contrôle d'accès, il vous sera plus facile d'en comprendre la fonction. Par
exemple, vous pouvez nommer NO_FTP une liste de contrôle d'accès refusant le trafic FTP. Lorsque vous identifiez
une liste de contrôle d'accès par un nom plutôt qu'un numéro, le mode de configuration et la syntaxe de commande
sont légèrement différents.

La Figure 1 décrit les étapes à suivre pour créer une liste de contrôle d'accès standard nommée.

ADIL HILMANI 30
Chapitre 9 : Listes de contrôle d'accès

Étape 1. À partir du mode de configuration globale, utilisez la commande ip access-list pour créer une liste de
contrôle d'accès nommée. Les noms des listes de contrôle d'accès doivent contenir uniquement des caractères
alphanumériques, sont sensibles à la casse et doivent être uniques. La commande name ip access-list
standard permet de créer une liste de contrôle d'accès standard nommée, tandis que la commande name ip
access-list extended permet de créer une liste de contrôle d'accès étendue. Lorsque vous avez saisi la
commande, le routeur est en mode de configuration de listes de contrôle d'accès standard nommées, comme indiqué
par l'invite.

Remarque : les listes de contrôle d'accès numérotées utilisent la commande de configuration globale access-
list alors que les listes de contrôle d'accès IPv4 nommées utilisent la commande ip access-list.

Étape 2. En mode de configuration des listes de contrôle d'accès nommées, utilisez les
instructions permit (autoriser) ou deny (refuser) pour spécifier une ou plusieurs conditions déterminant si un paquet
est transféré ou abandonné.

Étape 3. Appliquez la liste de contrôle d'accès à une interface à l'aide de la commande ip access-group. Indiquez
si la liste de contrôle d'accès doit être appliquée aux paquets lorsqu'ils entrent dans l'interface (in) ou lorsqu'ils
quittent l'interface (out).

La Figure 2 illustre les commandes utilisées pour configurer une liste de contrôle d'accès standard nommée sur
l'interface G0/0 du routeur R1 qui refuse l'accès de l'hôte 192.168.11.10 au réseau 192.168.10.0. La liste de contrôle
d'accès est nommée NO_ACCESS.

Vous n'êtes pas obligés de mettre des majuscules aux noms des listes de contrôle d'accès. En revanche, si vous le
faites, vous les verrez bien mieux en affichant la commande running-config. Il sera également moins probable
que vous créiez accidentellement deux listes de contrôle d'accès différentes portant le même nom, mais avec des
différences de majuscules.

ADIL HILMANI 31
Chapitre 9 : Listes de contrôle d'accès
9.2.1.8 Commentaires sur les listes de contrôle d'accès
Vous pouvez utiliser le mot-clé remark pour intégrer des commentaires (remarques) sur les entrées dans n'importe
quelle liste de contrôle d'accès IP standard ou étendue. Ces remarques facilitent la compréhension et la recherche
des listes de contrôle d'accès. Chaque ligne de remarque est limitée à 100 caractères.

La remarque peut être placée avant ou après une instruction permit ou deny. La position des remarques doit être
cohérente, afin de permettre d'identifier clairement quelle instruction permit ou deny chacune décrit. Par exemple,
le fait de placer certaines remarques avant les instructions permit ou denycorrespondantes et d'autres remarques
après ces instructions pourrait prêter à confusion.

Pour inclure un commentaire relatif à des listes de contrôle d'accès IPv4 standard ou étendues numérotées, utilisez la
commande de configuration globale access-list access-list_number remark remark. Pour supprimer le
mot-clé remark, utilisez la forme no de cette commande.

Dans le premier exemple, la liste de contrôle d'accès numérotée refuse que le poste de travail invité 192.168.10.10
quitte S0/0/0, mais autorise tous les autres périphériques du réseau 192.168.0.0/16.

Pour saisir une remarque dans une liste de contrôle d'accès standard ou étendue nommée, utilisez la commande de
configuration de liste d'accès remark. Pour supprimer le mot-clé remark, utilisez la forme no de cette commande.
L'exemple 2 montre une liste de contrôle d'accès standard nommée. Dans cet exemple, les instructions de remarque
indiquent que le poste de travail de test possédant l'adresse d'hôte 192.168.11.10 est refusé, mais que les
périphériques de tous les autres réseaux sont autorisés.

ADIL HILMANI 32
Chapitre 9 : Listes de contrôle d'accès

9.2.1.9 Exercice : configuration des listes de contrôle d'accès standard

ADIL HILMANI 33
Chapitre 9 : Listes de contrôle d'accès

9.2.2.1 Modification des listes de contrôle d'accès standard numérotées


Édition des listes de contrôle d'accès numérotées

Lorsque vous configurez une liste de contrôle d'accès standard, les instructions sont ajoutées à la configuration en
cours. Cependant, il n'existe aucune fonction d'édition intégrée vous permettant de modifier une liste de contrôle
d'accès.

Les listes de contrôle d'accès standard numérotées peuvent être modifiées de deux façons.

Méthode 1 : à l'aide d'un éditeur de texte

Si vous êtes habitué à créer et à modifier des listes de contrôle d'accès, il peut être plus facile de les rédiger dans un
éditeur de texte tel que le Bloc-notes Microsoft. Ainsi, vous pourrez créer ou modifier une liste, puis la coller dans la
configuration du routeur. Si vous souhaitez modifier une liste de contrôle d'accès existante, vous pouvez utiliser la
commande show running-config pour afficher la liste de contrôle d'accès, la copier/coller dans un éditeur de
texte, effectuer les changements nécessaires, puis la coller à nouveau dans la configuration.

Configuration : supposons, par exemple, que l'adresse d'hôte IPv4 de la figure a été mal saisie. L'hôte
192.168.10.99 a été entré alors que c'est l'hôte 192.168.10.10 qui aurait du l'être. Voici la procédure à suivre pour
modifier et corriger l'ACL 1 :
ADIL HILMANI 34
Chapitre 9 : Listes de contrôle d'accès
Étape 1. Affichez la liste de contrôle d'accès à l'aide de la commande show running-config. L'exemple de la
figure utilise le mot-clé include (inclure) pour afficher uniquement les ACE.

Étape 2. Mettez en surbrillance la liste de contrôle d'accès, copiez-la, puis collez-la dans le Bloc-notes Microsoft.
Modifiez la liste comme nécessaire. Une fois que la liste de contrôle d'accès est correcte dans le Bloc-notes Microsoft,
mettez-la en surbrillance et copiez-la.

Étape 3. En mode de configuration globale, supprimez la liste d'accès à l'aide de la commande no access-list 1.
Sinon, les nouvelles instructions sont ajoutées à la liste de contrôle d'accès existante. Collez ensuite la nouvelle liste
de contrôle d'accès dans la configuration du routeur.

Étape 4. Vérifiez les modifications à l'aide de la commande show running-config.

Remarque : l'effet de la commande no access-list est différent selon la version du logiciel IOS. Si la liste de
contrôle d'accès qui a été supprimée est toujours appliquée à une interface, certaines versions d'IOS agissent comme
si aucune liste de contrôle d'accès ne protégeait votre réseau tandis que d'autres refusent tout le trafic. Il est donc
recommandé de supprimer de l'interface la référence à la liste d'accès avant de la modifier. En outre, si la nouvelle
liste contient une erreur, désactivez-la et corrigez le problème. Dans ce cas, sachez que le réseau est dépourvu de
toute liste de contrôle d'accès lors du processus de correction.

9.2.2.2 Modification des listes de contrôle d'accès standard numérotées (suite)


Méthode 2 : à l'aide du numéro d'ordre

Comme l'illustre la figure, la configuration initiale de l'ACL 1 incluait une instruction d'hôte relative à l'hôte
192.168.10.99. Il s'agissait d'une erreur. L'hôte devrait avoir été configuré avec l'adresse 192.168.10.10. Pour modifier
la liste de contrôle d'accès à l'aide des numéros d'ordre, procédez comme suit :

Étape 1. Affichez la liste de contrôle d'accès actuelle à l'aide de la commande show access-lists 1. Le résultat
de cette commande sera traité plus en détail dans la suite de ce cours. Les numéros d'ordre sont indiqués au début
de chaque instruction. Ils sont attribués automatiquement lors de la saisie des instructions de la liste d'accès. Notez
que l'instruction mal configurée est associée au numéro d'ordre 10.

ADIL HILMANI 35
Chapitre 9 : Listes de contrôle d'accès
Étape 2. Saisissez la commande ip access-list standard utilisée pour configurer les listes de contrôle d'accès
nommées. Le chiffre 1, qui correspond au numéro de liste de contrôle d'accès, est utilisé comme nom. L'instruction
mal configurée doit d'abord être supprimée à l'aide de la commande no 10, 10 faisant référence au numéro d'ordre.
Ensuite, il faut ajouter une nouvelle instruction portant le numéro d'ordre 10, à l'aide de la commande 10 deny host
192.168.10.10.

Remarque : les instructions ne peuvent pas être remplacées par des instructions associées à un numéro d'ordre
existant déjà. L'instruction actuelle doit être supprimée avant que vous puissiez ajouter la nouvelle.

Étape 3. Vérifiez les modifications à l'aide de la commande show access-lists.

Comme indiqué précédemment, Cisco IOS applique une logique interne aux listes de contrôle d'accès standard.
L'ordre dans lequel les ACE standard sont saisies peut être différent de l'ordre dans lequel elles sont enregistrées,
affichées ou traitées par le routeur. La commande show access-lists affiche les ACE et leurs numéros d'ordre.

9.2.2.3 Modification des listes de contrôle d'accès standard nommées


Dans un exemple précédent, les numéros d'ordre ont été utilisés pour modifier une liste de contrôle d'accès standard
numérotée. Grâce aux numéros d'ordre, il est facile d'insérer ou de supprimer des instructions spécifiques. Cette
méthode permet également de modifier les listes de contrôle d'accès standard nommées.

La figure illustre un exemple d'insertion d'une ligne dans une liste de contrôle d'accès nommée.

• Dans le premier résultat de la commande show, vous pouvez constater que la liste de contrôle d'accès nommée
NO_ACCESS possède deux lignes numérotées indiquant les règles d'accès du poste de travail associé à
l'adresse IPv4 192.168.11.10.

• La commande ip access-list standard permet de configurer les listes de contrôle d'accès nommées.
Vous pouvez insérer ou supprimer des instructions à partir du mode de configuration des listes d'accès
nommées. La commande no sequence number permet de supprimer une instruction.

ADIL HILMANI 36
Chapitre 9 : Listes de contrôle d'accès
• Pour ajouter une instruction indiquant de refuser un autre poste de travail, vous devez insérer une ligne
numérotée. Dans cet exemple, le poste de travail associé à l'adresse IPv4 192.168.11.11 est ajouté à l'aide du
nouveau numéro d'ordre 15.

• Le résultat final de la commande show confirme que l'accès du nouveau poste de travail est maintenant refusé.

9.2.2.4 Vérification des listes de contrôle d'accès


Comme le montre la Figure 1, la commande show ip interface permet de vérifier la liste de contrôle d'accès sur
l'interface. Le résultat de cette commande inclut le numéro ou le nom de la liste de contrôle d'accès et la direction
dans laquelle celle-ci a été appliquée. Le résultat indique que la liste d'accès 1 est appliquée à l'interface sortante
S0/0/0 du routeur R1 et la liste d'accès NO_ACCESS à son interface sortante G0/0.

ADIL HILMANI 37
Chapitre 9 : Listes de contrôle d'accès

L'exemple de la Figure 2 présente le résultat de la commande show access-lists sur le routeur R1. Pour afficher
une liste d'accès spécifique, exécutez la commande show access-lists suivie du numéro ou du nom de la liste
d'accès de votre choix. Les instructions de la liste NO_ACCESS peuvent sembler étranges. Notez que le numéro
d'ordre 15 s'affiche avant le numéro d'ordre 10. Cela est dû au processus interne du routeur et sera traité dans la suite
de ce cours.

9.2.2.5 Statistiques de la liste de contrôle d'accès


Une fois que la liste de contrôle d'accès a été appliquée à une interface et qu'elle a été testée, la commande show
access-lists affiche les statistiques de chaque instruction ayant obtenu une ou plusieurs correspondances. Dans
le résultat de la Figure 1, notez que certaines des instructions ont trouvé des correspondances. Lorsque du trafic qui
devrait correspondre à une instruction de liste de contrôle d'accès est généré, les correspondances affichées dans le
résultat de la commande show access-listsdoivent augmenter. Dans cet exemple, si la commande ping est
envoyée de PC1 vers PC3 ou PC4, le résultat affiche une augmentation des correspondances avec l'instruction de
refus de la liste de contrôle d'accès 1.

Les statistiques de correspondance sont enregistrées pour les instructions d'autorisation et de refus. Cependant,
n'oubliez pas que la dernière instruction de toutes les listes de contrôle d'accès est un refus global implicite. Cette
instruction n'apparaît pas dans la commande show access-lists et donc aucune statistique n'est visible
concernant cette instruction. Pour afficher les statistiques de l'instruction implicite « deny any », vous pouvez
configurer l'instruction manuellement pour la faire apparaître dans le résultat. Soyez extrêmement prudent lors de la

ADIL HILMANI 38
Chapitre 9 : Listes de contrôle d'accès
configuration manuelle de l'instruction de refus global, car elle correspondra à tout le trafic. Si cette instruction n'est
pas configurée comme étant la dernière instruction de la liste, vous risquez d'obtenir des résultats inattendus.

Lors du test d'une liste de contrôle d'accès, vous pouvez remettre les compteurs à zéro à l'aide de la
commande clear access-list counters. Cette commande peut être utilisée seule ou avec le numéro ou le
nom d'une liste de contrôle d'accès spécifique. Comme le montre la Figure 2, cette commande remet à zéro les
compteurs statistiques d'une liste de contrôle d'accès.

9.2.2.6 Numéros d'ordre des listes de contrôle d'accès standard


Cisco IOS applique une logique interne aux listes de contrôle d'accès standard. Comme évoqué précédemment, une
partie de cette logique empêche la configuration d'instructions d'hôte après une instruction de plage si l'hôte
appartient à cette plage (voir Figure 1).

Une autre partie de la logique interne d'IOS fait appel au séquençage interne des ACE standard. La Figure 2
représente la configuration d'une liste de contrôle d'accès standard. Les instructions de plage qui refusent trois
réseaux sont configurées en premier et sont suivies de cinq instructions d'hôte. Les instructions d'hôte sont toutes des
instructions valides car leurs adresses IP d'hôte ne font pas partie des instructions de plage précédemment entrées.

ADIL HILMANI 39
Chapitre 9 : Listes de contrôle d'accès

La commande show running-config permet de vérifier la configuration de la liste. Notez que les instructions
figurent dans un ordre différent de celui dans lequel elles ont été saisies. Nous allons utiliser la commande show
access-lists pour comprendre la logique de ce processus.

Comme le montre la Figure 3, la commande show access-lists affiche les ACE et leurs numéros d'ordre. Il
pourrait paraître logique que les instructions apparaissent dans l'ordre dans lequel elles ont été saisies. Cependant, le
résultat de la commande show access-lists montre que ce n'est pas le cas.

L'ordre dans lequel les ACE standard figurent correspond à la séquence qu'IOS utilise pour traiter la liste. Notez que
les instructions sont regroupées en deux sections : les instructions d'hôte, puis les instructions de plage. Le numéro
d'ordre indique l'ordre dans lequel l'instruction a été saisie et non l'ordre de traitement de l'instruction.

ADIL HILMANI 40
Chapitre 9 : Listes de contrôle d'accès
Les instructions d'hôte apparaissent en premier, mais pas nécessairement dans l'ordre dans lequel elles ont été
saisies. IOS classe les instructions d'hôte à l'aide d'une fonction de hachage spéciale. Le classement résultant permet
d'optimiser la recherche d'une entrée de liste de contrôle d'accès d'hôte.

Les instructions de plage apparaissent après les instructions d'hôte. Ces instructions figurent dans l'ordre dans lequel
elles ont été saisies.

N'oubliez pas que les listes de contrôle d'accès standard et numérotées peuvent être modifiées à l'aide des numéros
d'ordre. Le numéro d'ordre indiqué dans le résultat de la commande show access-listscorrespond au numéro
utilisé pour supprimer l'une des instructions de la liste. Lorsque vous insérez une nouvelle instruction de liste de
contrôle d'accès, le numéro d'ordre affecte la position de l'instruction dans la liste uniquement si elle concerne une
plage. Les instructions d'hôte sont toujours organisées par la fonction de hachage.

Reprenons notre exemple. Une fois que vous avez enregistré la configuration en cours, le routeur est redémarré.
Comme le montre la Figure 3, la commande show access-lists affiche la liste de contrôle d'accès dans le même
ordre, mais les instructions ont été renumérotées. Les numéros d'ordre apparaissent maintenant dans l'ordre
numérique.

Remarque : la fonction de hachage est appliquée uniquement aux instructions d'hôte dans les listes de contrôle
d'accès IPv4 standard. L'algorithme n'est pas utilisé pour les listes de contrôle d'accès étendues IPv4 ni pour les listes
de contrôle d'accès IPv6. En effet, les listes de contrôle d'accès IPv4 étendues et les listes de contrôle d'accès IPv6
filtrent d'autres critères que l'adresse source. Les détails de la fonction de hachage sortent du cadre de ce cours.

9.2.3.1 Configuration d'une liste de contrôle d'accès standard pour sécuriser


un port VTY
Utiliser une liste de contrôle d'accès pour contrôler l'accès VTY

Cisco recommande d'utiliser le protocole SSH pour les connexions administratives aux routeurs et aux commutateurs.
Si l'image du logiciel Cisco IOS sur votre routeur ne prend pas en charge le protocole SSH, vous pouvez améliorer la
sécurité des lignes administratives en limitant l'accès VTY. La restriction de l'accès VTY est une technique vous
permettant de définir les adresses IP avec un accès Telnet au processus d'exécution du routeur. Pour contrôler le
poste de travail ou le réseau administratif gérant votre routeur, vous pouvez utiliser une liste de contrôle d'accès et
une instruction access-class configurée sur vos lignes VTY. Vous pouvez également utiliser cette technique avec
SSH pour renforcer la sécurité de tout accès administratif.

La commande access-class configurée en mode de configuration de ligne limite les connexions entrantes et
sortantes entre un VTY spécifique (vers un périphérique Cisco) et les adresses renseignées dans une liste de contrôle
d'accès.

Les listes de contrôle d'accès standard et étendues s'appliquent aux paquets traversant un routeur. Elles ne sont pas
destinées à bloquer les paquets créés sur le routeur. Par défaut, une liste de contrôle d'accès étendue pour le trafic
Telnet sortant n'empêche pas le routeur de lancer des sessions Telnet.

Le filtrage du trafic Telnet ou SSH est généralement considéré comme une fonction de liste de contrôle d'accès IP
étendue parce qu'il s'agit de filtrer un protocole de niveau plus élevé. Cependant, étant donné que la
commande access-class permet de filtrer les sessions Telnet/SSH entrantes ou sortantes par adresse source, une
liste de contrôle d'accès standard peut être utilisée.

La syntaxe de la commande access-class est la suivante :

Router(config-line)# access-class access-list-number { in [vrf-also ] | out }

Le paramètre in limite les connexions entrantes entre les adresses de la liste d'accès et le périphérique Cisco, tandis
que le paramètre out limite les connexions sortantes entre un périphérique Cisco spécifique et les adresses de la
liste d'accès.

ADIL HILMANI 41
Chapitre 9 : Listes de contrôle d'accès

La Figure 1 présente un exemple où une plage d'adresses est autorisée à accéder aux lignes VTY 0 à 4. La liste de
contrôle d'accès de la figure est configurée pour autoriser le réseau 192.168.10.0 à accéder aux lignes VTY 0 à 4,
mais refuser tous les autres réseaux.

Vous devez prendre en compte les éléments suivants lors de la configuration de listes de contrôle d'accès sur des
lignes VTY :

• Seules des listes de contrôle d'accès numérotées peuvent être appliquées aux lignes VTY.

• Vous devez définir les mêmes restrictions sur toutes les lignes VTY car un utilisateur peut tenter de se connecter
à n'importe laquelle.

Utilisez le contrôleur de syntaxe de la Figure 2 pour vous entraîner à sécuriser les accès VTY.

ADIL HILMANI 42
Chapitre 9 : Listes de contrôle d'accès

9.2.3.2 Vérification d'une liste de contrôle d'accès standard utilisée pour


sécuriser un port VTY
Une fois que la liste de contrôle d'accès aux lignes VTY est configurée, il est important de vérifier qu'elle fonctionne
correctement. La figure illustre deux périphériques tentant de se connecter à R1 via SSH. La liste d'accès 21 a été
configurée sur les lignes VTY de R1. PC1 parvient à établir une connexion SSH, tandis que PC2 échoue. Ce
comportement est normal, car la liste d'accès configurée permet au réseau 192.168.10.0/24 d'accéder aux lignes
VTY, mais refuse tous les autres périphériques.

Le résultat de R1 présente l'effet de la commande show access-lists après les tentatives SSH de PC1 et PC2.
La correspondance de la ligne « permit » fait référence à la connexion SSH réussie de PC1. La correspondance à
l'instruction « deny » est due à l'échec de la connexion SSH de PC2, un périphérique du réseau 192.168.11.0/24.

9.3.1.1 Listes de contrôle d'accès étendues


Test des paquets avec des listes de contrôle d'accès étendues

Des listes de contrôle d'accès IPv4 étendues peuvent être créées pour permettre un contrôle plus précis du filtrage du
trafic. Les listes de contrôle d'accès étendues sont numérotées de 100 à 199 et de 2 000 à 2 699 ce qui offre un total
de 799 numéros de listes de contrôle d'accès étendues disponibles. Vous pouvez également attribuer un nom aux
listes de contrôle d'accès étendues.

Les listes de contrôle d'accès étendues sont plus répandues que les listes de contrôle d'accès standard, car elles
fournissent un degré supérieur de contrôle. Comme le montre la figure, à l'instar des listes de contrôle d'accès
standard, les listes de contrôle d'accès étendues contrôlent les adresses sources des paquets, mais elles vérifient
également l'adresse de destination, les protocoles et les numéros de port (ou les services). La plage de critères est
ainsi bien plus grande. Par exemple, une liste de contrôle d'accès étendue peut autoriser le trafic d'e-mails d'un
réseau vers une destination spécifique tout en refusant les transferts de fichiers et la navigation sur le Web.

ADIL HILMANI 43
Chapitre 9 : Listes de contrôle d'accès

9.3.1.2 Listes de contrôle d'accès étendues (suite


Test des ports et des services

La possibilité de filtrer en fonction des protocoles et des numéros de port permet aux administrateurs réseau de créer
des listes de contrôle d'accès étendues très précises. Une application peut être spécifiée soit par le numéro de port
soit par le nom d'un port réservé.

La Figure 1 montre quelques exemples où un administrateur spécifie un numéro de port TCP ou UDP en le plaçant à
la fin de l'instruction de la liste de contrôle d'accès étendue. Vous pouvez utiliser des opérateurs logiques, tels que
égal (eq), non égal (neq), supérieur à (gt) et inférieur à (lt).

9.3.2.1 Configuration de listes de contrôle d'accès étendues


Les procédures de configuration des listes de contrôle d'accès étendues sont les mêmes que pour les listes de
contrôle d'accès standard. La liste de contrôle d'accès étendue est d'abord configurée, puis elle est activée sur une
interface. La syntaxe et les paramètres de commande sont plus complexes car ils prennent en charge des fonctions
supplémentaires fournies par les listes de contrôle d'accès étendues.

Remarque : la logique interne appliquée pour ordonner les instructions des listes de contrôle d'accès standard ne
s'applique pas aux listes de contrôle d'accès étendues. L'ordre dans lequel les instructions sont saisies lors de la
configuration est l'ordre dans lequel elles s'affichent et sont traitées.
ADIL HILMANI 44
Chapitre 9 : Listes de contrôle d'accès
La Figure 1 illustre la syntaxe de commande courante pour les listes de contrôle d'accès étendues IPv4. Notez qu'il
existe de nombreux mots-clés et paramètres pour les listes de contrôle d'accès étendues. Il n'est pas nécessaire de
tous les utiliser lors de la configuration d'une liste de contrôle d'accès étendue. Souvenez-vous que vous pouvez
utiliser le signe ? pour obtenir de l'aide lors de la saisie de commandes complexes.

La Figure 2 présente un exemple de liste de contrôle d'accès étendue. Dans cet exemple, l'administrateur réseau a
configuré des listes de contrôle d'accès pour limiter l'accès au réseau. La navigation sur Internet est autorisée
uniquement à partir du réseau local relié à l'interface G0/0. La liste de contrôle d'accès 103 autorise le trafic en
provenance de toute adresse sur le réseau 192.168.10.0 à accéder à n'importe quelle destination, à condition que le
trafic soit transféré via les ports 80 (HTTP) et 443 (HTTPS) uniquement.

La nature du protocole HTTP exige que le trafic revienne sur le réseau à partir des sites Web consultés par les clients
internes. L'administrateur réseau souhaite limiter ce trafic retour aux échanges HTTP de sites Web demandés, et
refuser tout autre trafic. La liste de contrôle d'accès 104 atteint cet objectif en bloquant tout trafic entrant, à l'exception
des connexions établies précédemment. L'instruction « permit » de la liste de contrôle d'accès 104 autorise le trafic
entrant à l'aide du paramètre established.

Le paramètre established autorise uniquement les réponses au trafic provenant du réseau 192.168.10.0/24 à
revenir sur ce réseau. Il y a concordance si les bits ACK ou RST (réinitialisation) du segment TCP de retour sont
définis, indiquant que le paquet appartient à une connexion existante. Sans le paramètre established dans

ADIL HILMANI 45
Chapitre 9 : Listes de contrôle d'accès
l'instruction de la liste de contrôle d'accès, les clients pourraient envoyer le trafic vers un serveur Web, mais ne
pourraient pas recevoir le trafic revenant de celui-ci.

9.3.2.2 Application de listes de contrôle d'accès étendues aux interfaces


Dans l'exemple précédent, l'administrateur réseau a configuré une liste de contrôle d'accès pour permettre aux
utilisateurs du réseau 192.168.10.0/24 de naviguer sur les sites Web sécurisés et non sécurisés. Même si elle a été
configurée, la liste de contrôle d'accès ne filtre pas le trafic tant qu'elle n'est pas appliquée à une interface. Pour
appliquer une liste de contrôle d'accès à une interface, déterminez d'abord si le filtrage concerne le trafic entrant ou
sortant. Lorsqu'un utilisateur du réseau local interne accède à un site Web sur Internet, le trafic est dans la direction
sortante vers Internet. Lorsqu'un utilisateur interne reçoit un e-mail à partir d'Internet, le trafic entre dans le routeur
local. Cependant, lorsque vous appliquez une liste de contrôle d'accès à une interface, les termes entrant et sortant
prennent un sens différent. Dans le contexte d'une liste de contrôle d'accès, le référentiel est l'interface du routeur.

Dans la topologie de la figure, R1 a trois interfaces : une interface série, S0/0/0, et deux interfaces Gigabit
Ethernet, G0/0 et G0/1. Souvenez-vous que les listes de contrôle d'accès étendues doivent généralement être
appliquées près de la source. Dans cette topologie, l'interface la plus proche de la source du trafic cible est
l'interface G0/0.

Le trafic des requêtes Web émises par les utilisateurs du réseau local 192.168.10.0/24 entre dans l'interface G0/0. Le
trafic de retour provenant des connexions établies avec les utilisateurs du réseau local sort de l'interface G0/0. Cet
exemple applique la liste de contrôle d'accès à l'interface G0/0 dans les deux sens. La liste de contrôle d'accès
entrante, 103, examine le type de trafic. La liste de contrôle d'accès sortante, 104, recherche le trafic de retour des
connexions établies. L'accès internet de 192.168.10.0 sera donc limité à la navigation sur le Web.

ADIL HILMANI 46
Chapitre 9 : Listes de contrôle d'accès

Remarque : les listes d'accès auraient pu être appliquées à l'interface S0/0/0, mais dans ce cas, le processus ACL du
routeur devrait examiner tous les paquets entrant dans le routeur et non seulement le trafic en provenance et à
destination de 192.168.11.0. Cela entraînerait des opérations inutiles pour le routeur.

9.3.2.3 Filtrage du trafic à l'aide de listes de contrôle d'accès étendues


L'exemple de la Figure 1 refuse le trafic FTP provenant du sous-réseau 192.168.11.0 destiné au sous-réseau
192.168.10.0, mais autorise tout autre trafic. Notez l'utilisation des masques génériques et de l'instruction de refus
global explicite. Souvenez-vous que le protocole FTP utilise les ports TCP 20 et 21. Par conséquent, la liste de
contrôle d'accès doit comporter les mots-clés ftp et ftp-data, ou eq 20 et eq 21 pour refuser le trafic FTP.

ADIL HILMANI 47
Chapitre 9 : Listes de contrôle d'accès
Si vous utilisez les numéros de port au lieu des noms de port, les commandes sont les suivantes :

access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq 20

access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq 21

Pour empêcher l'instruction de refus global implicite présente à la fin de la liste de contrôle d'accès de bloquer tout le
trafic, l'instruction permit ip any any est ajoutée. S'il n'existe aucune instruction permit dans une liste de
contrôle d'accès, tout le trafic sur l'interface à laquelle cette liste est appliquée est abandonné. La liste de contrôle
d'accès devrait être appliquée sur le trafic entrant dans l'interface G0/1 afin que le trafic provenant du réseau local
192.168.11.0/24 soit filtré lorsqu'il entre dans l'interface du routeur.

L'exemple de la Figure 2 refuse le trafic Telnet provenant de n'importe quelle source vers le réseau local
192.168.11.0/24, mais autorise tout autre trafic IP. Étant donné que le trafic destiné au réseau local 192.168.11.0/24
est sortant sur l'interface G0/1, la liste de contrôle d'accès serait appliquée à l'interface G0/1 à l'aide du mot-clé out.
Notez l'utilisation du mot-clé any dans l'instruction d'autorisation. Cette instruction est ajoutée pour garantir qu'aucun
autre trafic n'est bloqué.

Remarque : les exemples des Figures 1 et 2 utilisent tous deux l'instruction permit ip any any à la fin de la liste.
Pour plus de sécurité, on peut utiliser la commande permit 192.168.11.0 0.0.0.255 any.

9.3.2.4 Création de listes de contrôle d'accès étendues nommées


La création des listes de contrôle d'accès étendues nommées est similaire à la création des listes de contrôle d'accès
standard nommées. Procédez comme suit pour créer une liste de contrôle d'accès étendue identifiée par un nom :

Étape 1. En mode de configuration globale, utilisez la commande ip access-list extended name pour définir le
nom de la liste de contrôle d'accès étendue.

Étape 2. En mode de configuration de la liste de contrôle d'accès nommée, spécifiez les


conditions permit ou deny.

ADIL HILMANI 48
Chapitre 9 : Listes de contrôle d'accès
Étape 3. Repassez en mode d'exécution privilégié et vérifiez la liste à l'aide de la commande show access-
lists name.

Étape 4. Enregistrez les entrées dans le fichier de configuration en utilisant la commande copy running-config
startup-config.

Pour supprimer une liste de contrôle d'accès étendue nommée, utilisez la commande de configuration globale no ip
access-list extended name.

La figure montre les versions nommées des listes de contrôle d'accès créées dans les exemples précédents. La liste
de contrôle d'accès nommée SURFING permet aux utilisateurs du réseau local 192.168.10.0/24 d'accéder aux sites
Web. La liste de contrôle d'accès nommée BROWSING autorise le trafic de retour provenant des connexions établies.
Les règles sont appliquées au trafic entrant et sortant de l'interface G0/0 à l'aide des noms des listes de contrôle
d'accès.

9.3.2.5 Vérification des listes de contrôle d'accès étendues


Une fois qu'une liste de contrôle d'accès a été configurée et appliquée à une interface, utilisez la commande show de
Cisco IOS pour vérifier la configuration. Dans cette figure, le premier exemple illustre la commande de Cisco IOS
permettant d'afficher le contenu de toutes les listes de contrôle d'accès. L'exemple du bas présente le résultat de la
commande show ip interface g0/0 sur le routeur R1.

Les listes de contrôle d'accès étendues n'utilisent pas la même logique interne que les listes de contrôle d'accès
standard, ni la fonction de hachage. Le résultat et les numéros d'ordre affichés par la commande show access-
lists correspondant à l'ordre dans lequel les instructions ont été saisies. Les entrées d'hôtes n'apparaissent pas
automatiquement avant les entrées de plage.

La commande show ip interface permet de vérifier la liste de contrôle d'accès sur l'interface et la direction dans
laquelle elle a été appliquée. Le résultat de cette commande inclut le numéro ou le nom de la liste de contrôle d'accès

ADIL HILMANI 49
Chapitre 9 : Listes de contrôle d'accès
et la direction dans laquelle celle-ci a été appliquée. Les noms des listes de contrôle d'accès en majuscules,
BROWSING et SURFING, sont particulièrement visibles à l'écran.

Une fois que la configuration de la liste de contrôle d'accès a été vérifiée, l'étape suivante consiste à confirmer que les
listes de contrôle d'accès fonctionnent comme prévu, c'est-à-dire qu'elles bloquent et autorisent le trafic selon les
besoins.

Les recommandations mentionnées précédemment dans ce cours suggèrent de configurer les listes de contrôle
d'accès sur un réseau de test, puis de les mettre en œuvre sur le réseau de production

9.3.2.6 Modification des listes de contrôle d'accès étendues


La modification des listes de contrôle d'accès étendues est similaire à celle des listes de contrôle d'accès standard,
comme évoqué précédemment. Une liste de contrôle d'accès étendue peut être modifiée comme suit :

• 1re méthode, l'éditeur de texte : cette méthode consiste à copier la liste de contrôle d'accès et à la coller dans
l'éditeur de texte pour la modifier. Il faut ensuite supprimer la liste d'accès actuelle à l'aide de la commande no
access-list. Une fois modifiée, elle est à nouveau collée dans la configuration.

• 2e méthode, les numéros d'ordre : les numéros d'ordre permettent de supprimer ou d'insérer une instruction
de liste de contrôle d'accès. Exécutez la commande ip access-list extended name pour passer en
mode de configuration de liste de contrôle d'accès nommée. Si la liste d'accès est numérotée plutôt que
nommée, indiquez le numéro de liste de contrôle d'accès dans le paramètre name. Vous avez la possibilité
d'insérer ou de supprimer des ACE.

Dans l'exemple de la figure, l'administrateur doit modifier la liste de contrôle d'accès nommée SURFING pour corriger
une faute de frappe dans l'instruction concernant le réseau source. Pour afficher les numéros d'ordre actuels, il faut
utiliser la commande show access-lists. L'instruction à modifier est identifiée par le numéro d'instruction 10. La
commande no sequence_# permet de supprimer l'instruction initiale. L'instruction corrigée est ensuite ajoutée et
remplace l'instruction initiale.

ADIL HILMANI 50
Chapitre 9 : Listes de contrôle d'accès

9.3.2.7 Exercice : création d'une instruction de liste de contrôle d'accès


étendue

ADIL HILMANI 51
Chapitre 9 : Listes de contrôle d'accès

ADIL HILMANI 52
Chapitre 9 : Listes de contrôle d'accès

9.3.2.8 Exercice : évaluation d'entrées de contrôle d'accès étendues

ADIL HILMANI 53
Chapitre 9 : Listes de contrôle d'accès

9.3.2.9 Exercice : testlet de liste de contrôle d'accès

ADIL HILMANI 54
Chapitre 9 : Listes de contrôle d'accès

9.4.1.1 Logique des listes de contrôle d'accès entrantes et sortantes


Logique des listes de contrôle d'accès entrantes

La Figure 1 illustre la logique des listes de contrôle d'accès entrantes. En cas de concordance entre les informations
d'un en-tête de paquet et d'une instruction de la liste de contrôle d'accès, les autres instructions de la liste sont
ignorées et le paquet est autorisé ou refusé, comme le définit l'instruction correspondante. En cas de non-
concordance entre un en-tête de paquet et une instruction de la liste de contrôle d'accès, le paquet est validé par
rapport à l'instruction suivante de la liste. Ce processus de correspondance se poursuit jusqu'à la fin de la liste.

À la fin de chaque liste, il existe une instruction de refus global implicite. Cette instruction n'apparaît pas dans le
résultat. Cette instruction implicite finale s'applique à tous les paquets qui n'ont pas répondu aux conditions. Elle
correspond à tous les autres paquets et se solde par une action de refus. Au lieu de les faire entrer ou sortir d'une
interface, le routeur abandonne tous les paquets restants. Cette instruction finale est souvent appelée instruction
implicite « deny any » ou « deny all traffic ». Cette instruction implique qu'une liste de contrôle d'entrée doit comporter
au moins une instruction permit, afin de ne pas bloquer tout le trafic.

Logique des listes de contrôle d'accès sortantes

La Figure 2 illustre la logique des listes de contrôle d'accès sortantes. Avant l'acheminement d'un paquet vers une
interface de sortie, le routeur vérifie la table de routage pour voir si le paquet est routable. Si le paquet ne peut être
acheminé, il est abandonné et n'est pas examiné en fonction des ACE. Le routeur vérifie ensuite si l'interface de sortie
est associée à une liste de contrôle d'accès. Si l'interface de sortie n'est pas associée à une liste de contrôle d'accès
sortante, le paquet peut être envoyé à la mémoire tampon de sortie. Voici des exemples de listes de contrôle d'accès
sortantes :

• Aucune liste de contrôle d'accès appliquée à l'interface : si l'interface de sortie n'est associée à aucune liste
de contrôle d'accès sortante, le paquet est envoyé directement à l'interface de sortie.

• Liste de contrôle d'accès appliquée à l'interface : si l'interface de sortie est associée à une liste de contrôle
d'accès sortante, le paquet n'est pas envoyé à l'interface de sortie tant qu'il n'a pas été vérifié par les listes de
contrôle d'accès appliquées à cette interface. En fonction des vérifications de la liste de contrôle d'accès, le
paquet est autorisé ou refusé.

ADIL HILMANI 55
Chapitre 9 : Listes de contrôle d'accès

Pour les listes sortantes, « autoriser » signifie envoyer le paquet à la mémoire tampon de sortie et « refuser » revient
à rejeter le paquet.

9.4.1.2 Opérations logiques des listes de contrôle d'accès


Listes de contrôle d'accès, routage et processus des listes de contrôle d'accès sur un routeur

La figure illustre la logique de routage et les processus des listes de contrôle d'accès. Lorsqu'un paquet parvient à
l'interface d'un routeur, le processus de ce dernier est identique, que des listes de contrôle d'accès soient utilisées ou
non. À l'entrée d'une trame dans l'interface, le routeur vérifie si l'adresse de couche 2 de destination correspond à la
sienne ou s'il s'agit d'une trame de diffusion.

Si l'adresse de la trame est acceptée, les informations sur la trame sont éliminées et le routeur recherche une liste de
contrôle d'accès sur l'interface d'entrée. Le cas échéant, le paquet est vérifié pour déceler des correspondances avec
les instructions de la liste.

Si le paquet correspond à une instruction, il est autorisé ou refusé. Si le paquet est accepté, il est ensuite comparé
aux entrées de la table de routage afin de déterminer l'interface de destination. S'il existe une entrée de table de
routage pour la destination, le paquet est alors transmis à l'interface sortante. Dans le cas contraire, le paquet est
abandonné.

Le routeur vérifie ensuite si l'interface sortante possède une liste de contrôle d'accès. Le cas échéant, le paquet est
vérifié pour déceler des correspondances avec les instructions de la liste.

Si le paquet correspond à une instruction, il est autorisé ou refusé.

En l'absence d'une liste de contrôle d'accès ou si le paquet est autorisé, ce dernier est encapsulé dans le nouveau
protocole de couche 2 et acheminé par l'interface jusqu'au périphérique suivant.

9.4.1.3 Processus décisionnel des listes de contrôle d'accès standard


Les listes de contrôle d'accès standard examinent uniquement l'adresse IPv4 source. La destination du paquet et les
ports concernés ne sont pas pris en compte.

Le processus décisionnel des listes de contrôle d'accès standard est représenté sur la figure. Le logiciel Cisco IOS
vérifie les correspondances d'adresses dans les listes de contrôle d'accès les unes après les autres. La première
correspondance détermine si le logiciel accepte ou refuse l'adresse. Dans la mesure où le logiciel ne vérifie plus les
conditions après la première correspondance, l'ordre des conditions est primordial. En cas de non-concordance des
conditions, l'adresse est rejetée.

9.4.1.4 Processus décisionnel des listes de contrôle d'accès étendues


La figure illustre le processus de décision logique suivi par une liste de contrôle d'accès étendue pour filtrer les
adresses source et de destination, le protocole et les numéros de port. Dans cet exemple, la liste de contrôle d'accès
filtre en fonction de l'adresse source, avant de passer au port et au protocole de la source. Elle filtre en fonction de
l'adresse de destination, du port et du protocole de destination, avant de prendre une décision finale d'autorisation ou
de refus.

Rappelez-vous que les entrées des listes de contrôle d'accès sont traitées les unes après les autres. Ainsi, une
décision négative ne correspond pas nécessairement à un refus. En parcourant le processus de décision logique,
remarquez qu'un « Non » signifie que vous devez passer à l'entrée suivante jusqu'à obtenir une correspondance.

ADIL HILMANI 56
Chapitre 9 : Listes de contrôle d'accès

9.4.2.1 Dépannage des erreurs de liste de contrôle d'accès courantes,


exemple 1
Les commandes show décrites précédemment permettent de repérer les erreurs de liste de contrôle d'accès les plus
courantes. En général, ces erreurs concernent l'ordre de saisie des ACE et l'application de critères inappropriés aux
règles des listes de contrôle d'accès.

1er exemple d'erreur

Sur la figure, l'hôte 192.168.10.10 n'a établi aucune connexion avec 192.168.30.12. Dans le résultat de la
commande show access-lists, des correspondances sont affichées pour la première instruction de refus. Cela
indique que cette instruction a obtenu une correspondance du trafic.

Solution : vérifiez l'ordre des ACE. L'hôte 192.168.10.10 n'a établi aucune connectivité avec 192.168.30.12 à cause
de l'ordre de la règle 10 dans la liste de contrôle d'accès. Sachant que le routeur traite les listes de contrôle d'accès
de haut en bas, l'instruction 10 refuse l'hôte 192.168.10.10, donc l'instruction 20 ne peut pas obtenir de
correspondance. Les instructions 10 et 20 doivent être inversées. La dernière ligne autorise tout autre trafic non TCP
correspondant au protocole IP (ICMP, UDP, etc.).

9.4.2.2 Dépannage des erreurs de liste de contrôle d'accès courantes,


exemple 2
2e exemple d'erreur

Sur la figure, le réseau 192.168.10.0/24 ne peut pas utiliser TFTP pour se connecter au réseau 192.168.30.0/24.

ADIL HILMANI 57
Chapitre 9 : Listes de contrôle d'accès

Solution : le réseau 192.168.10.0/24 ne peut pas utiliser TFTP pour se connecter au réseau 192.168.30.0/24, car
TFTP utilise le protocole de transport UDP. L'instruction 30 dans la liste de contrôle d'accès 120 autorise tout autre
trafic TCP. Cependant, étant donné que TFTP utilise le protocole UDP et non TCP, il est implicitement refusé.
Souvenez-vous que l'instruction de refus global implicite n'apparaît pas dans le résultat de la commande show
access-lists et donc que les correspondances ne sont pas indiquées.

L'instruction 30 devrait être ip any any.

Cette liste de contrôle d'accès fonctionne, qu'elle soit appliquée à l'interface G0/0 (routeur R1), S0/0/1 (routeur R3) ou
S0/0/0 (routeur R2) dans la direction entrante. Néanmoins, conformément à la règle voulant que les listes de contrôle
d'accès étendues soient placées le plus près possible de la source, la meilleure solution est de la placer sur l'interface
G0/0 (routeur R1) dans la direction entrante. Ainsi, tout trafic indésirable y est filtré sans traverser l'infrastructure
réseau.

3e exemple d'erreur

Sur la figure, l'hôte 192.168.11.0/24 peut utiliser Telnet pour se connecter à 192.168.30.0/24, mais d'après la politique
de l'entreprise, cette connexion ne devrait pas être autorisée. Le résultat de la commande show access-
lists 130indique que l'instruction d'autorisation a renvoyé une correspondance.

Solution : l'hôte 192.168.11.0/24 peut utiliser Telnet pour se connecter au réseau 192.168.30.0/24, car le numéro du
port Telnet de l'instruction 10 de la liste de contrôle d'accès 130 est mal placée. L'instruction 10 refuse actuellement
tous les paquets source dont le numéro de port correspond à Telnet. Pour refuser le trafic Telnet entrant dans G0/1,
refusez le numéro de port de destination qui correspond à Telnet, par exemple, deny tcp any any eq telnet.

ADIL HILMANI 58
Chapitre 9 : Listes de contrôle d'accès

4e exemple d'erreur

Sur la figure, l'hôte 192.168.30.12 peut se connecter à 192.168.31.12 via Telnet, mais la politique de l'entreprise
n'autorise pas cette connexion. Le résultat de la commande show access-lists 140 indique que l'instruction
d'autorisation a renvoyé une correspondance.

Solution : l'hôte 192.168.30.12 peut utiliser Telnet pour se connecter à 192.168.31.12 puisqu'aucune règle ne refuse
l'hôte 192.168.30.12 ni son réseau comme source. L'instruction 10 de la liste d'accès 140 refuse l'interface du routeur
sur lequel le trafic entre dans le routeur. L'adresse IPv4 de l'hôte dans l'instruction 10 devrait être 192.168.30.12.

ADIL HILMANI 59
Chapitre 9 : Listes de contrôle d'accès

5e exemple d'erreur

Sur la figure, l'hôte 192.168.30.12 peut utiliser Telnet pour se connecter à 192.168.31.12, mais d'après la politique de
sécurité, cette connexion ne devrait pas être autorisée. Le résultat de la commande show access-
lists 150 indique qu'aucune correspondance avec l'instruction de refus n'a été trouvée comme attendu.

Solution : l'hôte 192.168.30.12 peut utiliser Telnet pour se connecter au réseau 192.168.31.12 du fait de la direction
dans laquelle est appliquée la liste de contrôle d'accès 150 à l'interface G0/1. L'instruction 10 refuse la connexion de
toute adresse source à l'hôte 192.168.31.12 via Telnet. Cependant, ce filtre doit être appliqué en sortie sur
l'interface G0/1 pour assurer un filtrage approprié.

9.5.1.1 Types de listes de contrôle d'accès IPv6


Les listes de contrôle d'accès IPv6 sont très semblables aux listes de contrôle d'accès IPv4, tant dans leur
fonctionnement que dans leur configuration. Si vous connaissez déjà les listes d'accès IPv4, vous n'aurez aucun mal
à comprendre et à utiliser les listes IPv6.

Il existe deux types de listes de contrôle d'accès IPv4, les listes de contrôle d'accès standard et étendues. Ces deux
types de liste peuvent être numérotés ou nommés.

En revanche, il n'existe qu'un seul type de liste de contrôle d'accès IPv6 et il correspond à une liste de contrôle
d'accès étendue IPv4 nommée. Les listes de contrôle d'accès IPv6 numérotées n'existent pas. Pour résumer, les
listes de contrôle d'accès IPv6 présentent les caractéristiques suivantes :

• Elles sont nommées uniquement

• Leur fonctionnalité équivaut à celle d'une liste de contrôle d'accès IPv4 étendue

ADIL HILMANI 60
Chapitre 9 : Listes de contrôle d'accès

Une liste de contrôle d'accès IPv4 et une liste de contrôle d'accès IPv6 ne peuvent pas porter le même nom.

9.5.1.2 Comparaison des listes de contrôle d'accès IPv4 et IPv6


Bien que les adresses IPv4 et IPv6 liste sont très similaires, il existe trois différences entre eux.

• Application d'une liste de contrôle d'accès IPv6

La première différence concerne la commande utilisée pour appliquer une liste de contrôle d'accès IPv6 à une
interface. La commande ip access-group permet d'appliquer une liste de contrôle d'accès IPv4 à une interface
IPv4. IPv6 utilise la commande ipv6 traffic-filter pour effectuer la même tâche sur les interfaces IPv6.

• Aucun masque générique

À la différence des listes de contrôle d'acccèsIPv4, les listes de contrôle d'accès IPv6 n'utilisent pas de masques
génériques. Au lieu de cela, la longueur de préfixe est utilisée pour indiquer dans quelle mesure l'adresse IPv6 source
ou de destination doit correspondre.

• Instructions supplémentaires par défaut

La dernière différence majeure concerne l'ajout de deux instructions d'autorisation implicites à la fin de chaque liste de
contrôle d'accès IPv6. À la fin de chaque liste de contrôle d'accès IPv4 standard ou étendue, il existe une instruction
implicite deny any ou deny any any. Il existe également une instruction deny ipv6 any any similaire à la fin de
chaque liste de contrôle d'accès IPv6. En revanche, dans le cas d'IPv6, deux autres instructions implicites sont
appliquées par défaut :

• permit icmp any any nd-na

• permit icmp any any nd-ns

Ces deux instructions permettent au routeur de prendre part à l'équivalent IPv6 du protocole ARP pour IPv4.
Souvenez-vous qu'ARP est utilisé dans le cadre d'IPv4 pour traduire les adresses de couche 3 en adresses MAC de
couche 2. Comme le montre la figure, IPv6 utilise des messages de découverte de voisin (ND pour Neighbor
Discovery) ICMP pour effectuer la même opération. La découverte de voisin fait appel à des messages de sollicitation
de voisin (NS pour Neighbor Solicitation) et d'annonce de voisin (NA pour Neighbor Advertisement).

ADIL HILMANI 61
Chapitre 9 : Listes de contrôle d'accès

Les messages ND sont encapsulés en paquets IPv6 et nécessitent des services de la couche réseau IPv6 tandis que
le protocole ARP pour IPv4 n'utilise pas la couche 3. Étant donné qu'IPv6 utilise le service de couche 3 pour la
découverte de voisin, les listes de contrôle d'accès IPv6 doivent autoriser implicitement l'envoi et la réception des
paquets ND sur une interface. Plus précisément, les messages nd-na (découverte de voisin-annonce de voisin) et nd-
ns (découverte de voisin-sollicitation de voisin) sont autorisés.

9.5.2.1 Configuration de la topologie IPv6


La Figure 1 présente la topologie utilisée pour configurer les listes de contrôle d'accès IPv6. La topologie est similaire
à la topologie IPv4 vue précédemment, sauf concernant le schéma d'adressage IPv6. Il existe trois sous-réseaux
2001:DB8:CAFE::/64 : 2001:DB8:CAFE:10::/64, 2001:DB8:CAFE:11::/64 et 2001:DB8:CAFE:30::/64. Deux réseaux
série (2001:DB8:FEED:1::/64 et 2001:DB8:FEED:2::/64) connectent trois routeurs.

ADIL HILMANI 62
Chapitre 9 : Listes de contrôle d'accès

Les Figures 2, 3 et 4 montrent la configuration des adresses IPv6 pour chaque routeur. La commande show ipv6
interface brief permet de vérifier l'adresse et l'état de l'interface.

Remarque : les commandes no shutdown et clock rate ne sont pas affichées.

ADIL HILMANI 63
Chapitre 9 : Listes de contrôle d'accès

9.5.2.2 Configuration des listes de contrôle d'accès IPv6


Il existe uniquement des listes de contrôle d'accès IPv6 nommées. Leur configuration est similaire à celle d'une liste
de contrôle d'accès étendue IPv4 nommée.

La Figure 1 illustre la syntaxe de commande pour les listes de contrôle d'accès IPv6. La syntaxe est similaire à celle
utilisée pour les listes de contrôle d'accès étendues IPv4. Il existe tout de même une différence importante : la
longueur de préfixe IPv6 est utilisée à la place du masque générique IPv4.

ADIL HILMANI 64
Chapitre 9 : Listes de contrôle d'accès

Il existe trois étapes de base pour configurer une liste de contrôle d'accès IPv6 :

Étape 1. En mode de configuration globale, utilisez la commande name ipv6 access-list pour créer une liste de
contrôle d'accès IPv6. Tout comme les listes de contrôle d'accès nommées IPv4, les noms des listes de contrôle
d'accès IPv6 sont alphanumériques, sensibles à la casse et doivent être uniques. Contrairement aux listes de contrôle
d'accès IPv4, l'option standard ou étendue n'est pas nécessaire.

Étape 2. En mode de configuration des listes de contrôle d'accès nommées, utilisez les instructions permit ou deny
pour spécifier une ou plusieurs conditions pour déterminer si un paquet est transféré ou abandonné.

Étape 3. Retournez au mode d'exécution privilégié à l'aide de la commande end.

La Figure 2 présente la procédure à suivre pour créer une liste de contrôle d'accès IPv6 à l'aide d'un exemple simple
basé sur la topologie précédente. La première instruction nomme la liste d'accès IPv6 NO-R3-LAN-ACCESS. Comme
dans le cas d'IPv4, vous n'êtes pas obligé d'écrire les noms des listes de contrôle d'accès en majuscule, mais cela
permet de les repérer plus facilement dans le résultat de la commande running-config.

La deuxième instruction refuse tous les paquets IPv6 provenant de 2001:DB8:CAFE:30::/64 destinés à n'importe quel
réseau IPv6. La troisième instruction autorise tous les autres paquets IPv6.

La Figure 3 présente la liste de contrôle d'accès en contexte avec la topologie.

9.5.2.3 Application d'une liste de contrôle d'accès IPv6 à une interface


Une fois que la liste de contrôle d'accès IPv6 est configurée, elle est associée à une interface à l'aide de la
commande ipv6 traffic-filter :

Router(config-if)# ipv6 traffic-filter access-list-name { in |out }

ADIL HILMANI 65
Chapitre 9 : Listes de contrôle d'accès

La figure représente la liste de contrôle d'accès NO-R3-LAN-ACCESS configurée précédemment et les commandes
utilisées pour appliquer la liste de contrôle d'accès IPv6 entrante à l'interface S0/0/0. L'application de la liste de
contrôle d'accès à l'interface S0/0/0 entrante provoque le refus des paquets provenant de 2001:DB8:CAFE:30::/64 sur
les deux réseaux locaux de R1.

Pour supprimer une liste de contrôle d'accès d'une interface, saisissez d'abord la commande no ipv6 traffic-
filter sur l'interface, puis la commande globale no ipv6 access-list.

Remarque : la commande access-class est utilisée à la fois par IPv4 et IPv6 pour appliquer une liste d'accès aux
ports VTY.

ADIL HILMANI 66
Chapitre 9 : Listes de contrôle d'accès

9.5.2.4 Exemples de listes de contrôle d'accès IPv6


Refuser FTP

La topologie utilisée dans les exemples est représentée sur la Figure 1.

Dans le premier exemple représenté à la Figure 2, le routeur R1 est configuré avec une liste d'accès IPv6 pour refuser
le trafic FTP vers 2001:DB8:CAFE:11::/64. Les ports utilisés pour les données FTP (port 20) et le contrôle FTP
(port 21) doivent être bloqués. Étant donné que le filtre est appliqué en entrée à l'interface G0/0 sur R1, seul le
trafic provenant du réseau 2001:DB8:CAFE:10::/64 sera refusé.

Restriction de l'accès

Dans le deuxième exemple, présenté à la Figure 3, une liste de contrôle d'accès IPv6 est configurée pour accorder au
réseau local sur R3 un accès limité aux réseaux locaux sur R1. Des commentaires sont ajoutés à la configuration
pour documenter la liste de contrôle d'accès. Les éléments suivants ont été marqués dans la liste de contrôle
d'accès :

ADIL HILMANI 67
Chapitre 9 : Listes de contrôle d'accès
1. Les deux premières instructions d'autorisation permettent l'accès de n'importe quel périphérique au serveur Web à
l'adresse 2001:DB8:CAFE:10::10.

2. Tous les autres périphériques se voient refuser l'accès au réseau 2001:DB8:CAFE:10::/64.

3. PC3 sur 2001:DB8:CAFE:30::12 est autorisé à accéder via Telnet à PC2 portant l'adresse IPv6
2001:DB8:CAFE:11::11.

4. Tous les autres périphériques se voient refuser l'accès Telnet à PC2.

5. Le reste du trafic IPv6 est autorisé vers toutes les autres destinations.

6. La liste d'accès IPv6 est appliquée à l'interface G0/0 dans la direction entrante, de sorte que seul le réseau
2001:DB8:CAFE:30::/64 est affecté.

9.5.2.5 Vérification des listes de contrôle d'accès IPv6


Les commandes utilisées pour vérifier une liste d'accès IPv6 sont similaires à celles utilisées pour les listes de
contrôle d'accès IPv4. Elles permettent de vérifier la liste d'accès IPv6 RESTRICTED-ACCESS configurée
précédemment. La Figure 1 montre le résultat de la commande show ipv6 interface. Il confirme que la liste de
contrôle d'accès RESTRICTED-ACCESS est configurée dans la direction entrante de l'interface G0/0.

Comme le montre la Figure 2, la commande show access-lists affiche toutes les listes de contrôle d'accès sur le
routeur (IPv4 et IPv6). Notez que pour les listes de contrôle d'accès IPv6, les numéros d'ordre figurent à la fin de
l'instruction et non au début comme pour les listes d'accès IPv4. Bien que les instructions apparaissent dans l'ordre
ADIL HILMANI 68
Chapitre 9 : Listes de contrôle d'accès
dans lequel elles ont été saisies, les incréments ne sont pas toujours de 10. Cela est dû au fait que les instructions de
remarque saisies étaient identifiées par un numéro d'ordre, mais n'apparaissent pas dans le résultat de la
commande show access-lists.

De la même manière que pour les listes de contrôle d'accès étendues IPv4, les instructions sont affichées et traitées
dans l'ordre dans lequel elles ont été saisies dans les listes d'accès IPv6. Souvenez-vous que les listes de contrôle
d'accès IPv4 standard utilisent une logique interne qui modifie leur ordre d'apparition et de traitement.

Comme l'illustre la Figure 3, le résultat de la commande show running-config inclut toutes les ACE et les
instructions de remarque. Les instructions de remarque peuvent être placées avant ou après les
instructions permit ou deny, mais leur position doit être homogène.

ADIL HILMANI 69

Vous aimerez peut-être aussi