Académique Documents
Professionnel Documents
Culture Documents
ACL
(Access Control List)
Introduction
Une liste de contrôle d'accès est un ensemble séquentiel d'instructions d'autorisation ou de refus qui
s'appliquent aux adresses ou aux protocoles de couche supérieure. Les listes de contrôle d'accès
représentent un outil puissant pour contrôler le trafic entrant ou sortant d'un réseau. Des listes de
contrôle d'accès peuvent être configurées pour tous les protocoles réseau routés.
Une fois configurées, les listes de contrôle d'accès assurent les tâches suivantes
• Elles limitent le trafic réseau pour accroître les performances réseau. Ainsi, la charge réseau
est nettement réduite et les performances réseau sont sensiblement améliorées.
• Elles contrôlent le flux de trafic. Les listes de contrôle d'accès peuvent limiter l'arrivée des
mises à jour de routage.
• Elles fournissent un niveau de sécurité de base pour l'accès réseau.
• Elles filtrent le trafic en fonction de son type.
• Elles filtrent les hôtes pour autoriser ou refuser l'accès aux services sur le réseau.
Le filtrage des paquets, parfois appelé filtrage statique des paquets, contrôle l'accès à un réseau en
analysant les paquets entrants et sortants et en les transmettant ou en rejetant selon des critères
spécifiques, tels que l'adresse IP source, les adresses IP de destination et le protocole transporté dans
le paquet.
• Un routeur filtre les paquets lors de leur transmission ou de leur refus conformément aux
règles de filtrage.
• Un routeur de filtrage de paquets utilise des règles pour déterminer s'il doit autoriser ou
refuser le trafic. Un routeur peut également effectuer le filtrage des paquets au niveau de la
couche 4, la couche transport.
Une liste de contrôle d'accès est un ensemble séquentiel d'instructions d'autorisation ou de refus,
appelées entrées de contrôle d'accès (ACE). Les ACE sont couramment appelées des instructions de
liste de contrôle d'accès. Des ACE peuvent être créés pour filtrer le trafic en fonction de critères tels
que l'adresse source, l'adresse de destination, le protocole et les numéros de port.
Par exemple, une liste de contrôle d'accès peut être configurée pour « autoriser l'accès Web aux
utilisateurs du réseau A, mais leur refuser l'accès à tous les autres services. Refuser l'accès HTTP
aux utilisateurs du réseau B, mais leur autoriser tous les autres accès. »
Les listes de contrôle d'accès définissent des règles de contrôle pour les paquets arrivant par les
interfaces d'entrée, passant par le routeur et atteignant leur destination par les interfaces de sortie.
Les listes de contrôle d'accès sont configurées pour s'appliquer au trafic entrant ou sortant comme le
montre la figure ci-dessous.
Remarque : les listes de contrôle d'accès IPv6 Cisco sont similaires aux listes de contrôle d'accès
étendues Ipv4.
L'écriture des listes de contrôle d'accès peut être une tâche complexe. Pour chaque interface,
plusieurs stratégies peuvent être nécessaires pour gérer le type de trafic autorisé à entrer dans cette
interface ou en sortir.
Pour retenir la règle générale d'application des listes de contrôle d'accès, il suffit de se souvenir des
trois P. Vous pouvez configurer une liste de contrôle d'accès par protocole, par direction et par
interface :
•Une liste de contrôle d'accès par protocole : pour contrôler le flux du trafic sur une
interface, définissez une liste de contrôle d'accès pour chaque protocole activé sur l'interface.
•Une liste de contrôle d'accès par direction : les listes de contrôle d'accès contrôlent le
trafic dans une seule direction à la fois sur une interface. Vous devez créer deux listes de
contrôle d'accès ; la première pour contrôler le trafic entrant et la seconde pour contrôler le
trafic sortant.
•Une liste de contrôle d'accès par interface : les listes de contrôle d'accès contrôlent le
trafic dans une seule interface, par exemple, Gigabit Ethernet 0/0.
Pour mieux comprendre l’intérêt de chaque commande de l'ACL standard, le tableau ci-dessous
donne une explication suffisante pour comprendre chaque partie de la syntaxe d'ACL standard.
Pour supprimer une liste de contrôle d'accès IP d'une interface, entrez d'abord la commande no ip
access-group sur l'interface, puis la commande globale no access-list pour supprimer l'ensemble de
la liste.
Étape 2. En mode de configuration des listes de contrôle d'accès nommées, utilisez les
instructions permit (autoriser) ou deny (refuser) pour spécifier une ou plusieurs conditions
déterminant si un paquet est transféré ou abandonné.
Étape 3. Appliquez la liste de contrôle d'accès à une interface à l'aide de la commande ip access-
group. Indiquez si la liste de contrôle d'accès doit être appliquée aux paquets lorsqu'ils entrent dans
l'interface (in) ou lorsqu'ils quittent l'interface (out).
Avec les listes des contrôles d'accèes étendues vous aurez la possibilité de filtrer en fonction des
protocoles et des numéros de port permet aux administrateurs réseau de créer des listes de contrôle
d'accès étendues très précises. Une application peut être spécifiée soit par le numéro de port soit par
le nom d'un port réservé.
La Figure ci-dessous illustre la syntaxe de commande courante pour les listes de contrôle d'accès
étendues IPv4. Notez qu'il existe de nombreux mots-clés et paramètres pour les listes de contrôle
d'accès étendues. Il n'est pas nécessaire de tous les utiliser lors de la configuration d'une liste de
contrôle d'accès étendue.
ACL étendues nommées est similaire à la création des listes de contrôle d'accès standard nommées.
Procédez comme suit pour créer une liste de contrôle d'accès étendue identifiée par un nom :
Étape 1. En mode de configuration globale, utilisez la commande ip access-list
extended name pour définir le nom de la liste de contrôle d'accès étendue.
Étape 2. En mode de configuration de la liste de contrôle d'accès nommée, spécifiez les
conditions permit ou deny.
Étape 3. Repassez en mode d'exécution privilégié et vérifiez la liste à l'aide de la commande show
access-lists name.
Pour supprimer une liste de contrôle d'accès étendue nommée, utilisez la commande de
configuration globale no ip access-list extended name.
ACL IPv6
(Access Control List)
Introduction
Les listes de contrôle d'accès IPv6 sont très semblables aux listes de contrôle d'accès IPv4, tant dans
leur fonctionnement que dans leur configuration. Si vous connaissez déjà les listes d'accès IPv4,
vous n'aurez aucun mal à comprendre et à utiliser les listes IPv6.
Il existe deux types de listes de contrôle d'accès IPv4, les listes de contrôle d'accès standard et
étendues. Ces deux types de liste peuvent être numérotés ou nommés.
En revanche, il n'existe qu'un seul type de liste de contrôle d'accès IPv6 et il correspond à une liste
de contrôle d'accès étendue IPv4 nommée. Les listes de contrôle d'accès IPv6 numérotées n'existent
pas.
Bien que les adresses IPv4 et IPv6 liste sont très similaires, il existe trois différences entre eux.
Application d'une liste de contrôle d'accès Ipv6: IPv6 utilise la commande ipv6 traffic-
filter pour effectuer la même tâche sur les interfaces IPv6.
Aucun masque générique : les listes de contrôle d'accès IPv6 n'utilisent pas de masques
génériques
Instructions supplémentaires par défaut : la dernière différence majeure concerne l'ajout de deux
instructions d'autorisation implicites à la fin de chaque liste de contrôle d'accès IPv6
Il existe uniquement des listes de contrôle d'accès IPv6 nommées. Leur configuration est similaire à
celle d'une liste de contrôle d'accès étendue IPv4 nommée.
Il existe trois étapes de base pour configurer une liste de contrôle d'accès IPv6 :
Étape 1. En mode de configuration globale, utilisez la commande name ipv6 access-list pour créer
une liste de contrôle d'accès IPv6.
Remarque : les noms des listes de contrôle d'accès IPv6 sont alphanumériques, sensibles à la casse
et doivent être uniques.
Étape 2. En mode de configuration des listes de contrôle d'accès nommées, utilisez les
instructions permit ou deny pour spécifier une ou plusieurs conditions pour déterminer si un paquet
est transféré ou abandonné.
La figure ci-dessous illustre la syntaxe de commande pour les listes de contrôle d'accès IPv6.
La Figure ci-dessus présente la procédure à suivre pour créer une liste de contrôle d'accès IPv6 à
l'aide d'un exemple simple basé sur la topologie précédente. La première instruction nomme la liste
d'accès IPv6 NO-R3-LAN-ACCESS. Comme dans le cas d'IPv4, vous n'êtes pas obligé d'écrire les
noms des listes de contrôle d'accès en majuscule, mais cela permet de les repérer plus facilement
dans le résultat de la commande running-config.
Pour supprimer une liste de contrôle d'accès d'une interface, saisissez d'abord la commande no ipv6
traffic-filter sur l'interface, puis la commande globale no ipv6 access-list.
Remarque : la commande access-classest utilisée à la fois par IPv4 et IPv6 pour appliquer une liste
d'accès aux ports VTY.