L3 Systèmes, Réseaux et Télécoms

Année 2021
Dr Diery NGOM
Enseignant-chercheur en Informatique
Département TIC-UFR SATIC-UADB
Contact : diery.ngom@uadb.edu.sn

Cours de Routage & Commutation-L3 SRT/UADB-

08/06/2021 Année 2021-Dr Diery NGOM 1
Chapitre 4 : Les ACL (Access List
Control)

Cours de Routage & Commutation-L3 SRT/UADB-Année 2021-Dr Diery NGOM

08/06/2021 2
 Plan
 Définition
 Vérification des paquets
 Création des ACL
 Les différents types d’ACL
 Assignations des ACL aux interfaces
 Numéros d’ACL et masque générique
 ACL standard
 ACL étendue
 ACL nommée
 Vérification des ACL

Cours de Routage & Commutation-L3 SRT/UADB-

08/06/2021 Année 2021-Dr Diery NGOM 3
  Les ACL permettent à un administrateur de gérer le
trafic et d'analyser des paquets particuliers.

 Les ACL sont associées à une interface du routeur, et

tout trafic acheminé par cette interface est vérifié afin
d'y déceler certaines conditions faisant partie de la liste
de contrôle d'accès.

 Les ACL peuvent être créés pour tous les protocoles

routés. Il faut donc définir une liste de contrôle d'accès
dans le cas de chaque protocole activé dans une
interface pour contrôler le flux de trafic acheminé par
cette interface.
Cours de Routage & Commutation-L3 SRT/UADB-
08/06/2021 Année 2021-Dr Diery NGOM 4
 Vérification des paquets
 Lorsque le routeur détermine s'il doit acheminer ou
bloquer un paquet, la plate-forme logicielle Cisco IOS
examine le paquet en fonction de chaque instruction
de condition dans l'ordre dans lequel les instructions
ont été créées.

 Si le paquet arrivant à l’interface du routeur satisfait à

une condition, il est autorisé ou refusé (suivant
l’instruction) et les autres instructions ne sont pas
vérifiés.
Cours de Routage & Commutation-L3 SRT/UADB-
08/06/2021 Année 2021-Dr Diery NGOM 5
 Remarque
 Si un paquet ne correspond à aucune instruction dans
l’ACL, le paquet est rejeté. Ceci est le résultat de
l’instruction implicite deny any à la fin de chaque ACL.

Cours de Routage & Commutation-L3 SRT/UADB-

08/06/2021 Année 2021-Dr Diery NGOM 6
 Création des ACL
 Pour créer une ACL, il faut :

 Créer l’ACL en mode de configuration globale;

 Assigner cette ACL à une interface du routeur.

 Structure d’une ACL :

Router(config)#access-list <numéro-ACL> {permit

|deny} <instructions>
Cours de Routage & Commutation-L3 SRT/UADB-
08/06/2021 Année 2021-Dr Diery NGOM 7
 Les différents types d’ACL
Il existe 3 types de liste de contrôle d’accès : les ACL
standards, les ACL étendues et les ACL nommées.
 Les ACL standards utilisent des spécifications
d’adresses simplifiées et autorisent ou refusent un
ensemble de protocole.
 Les ACL étendues utilisent des spécifications d’adresses
plus complexes et autorisent ou refusent des protocoles
précis.
 Les ACL nommées peuvent être soit standards, soit
étendues ; elles ont pour but de faciliter la
compréhension et de connaître la finalité de l’ACL.
Cours de Routage & Commutation-L3 SRT/UADB-
08/06/2021 Année 2021-Dr Diery NGOM 8
 Assignations des ACL aux interfaces
 Les ACL sont affectées à une ou plusieurs interfaces et
peuvent filtrer le trafic entrant ou sortant, selon la
configuration.

 Une seule ACL est permise par port, par protocole et par
direction, c’est-à-dire qu’on ne peut pas par exemple
définir 2 ACL sur l’interface E0 pour le trafic IP sortant.
Par contre, on peut définir une ACL pour le trafic entrant
et une autre pour le trafic sortant.

Cours de Routage & Commutation-L3 SRT/UADB-

08/06/2021 Année 2021-Dr Diery NGOM 9
 Numéro d’ACL
 Au moment de configurer les ACL, il faut identifier
chaque liste de protocole en lui attribuant un numéro
unique.

 Le numéro choisi pour identifier une ACL doit se

trouver à l'intérieur d'une plage précise, valable pour le
protocole.

Cours de Routage & Commutation-L3 SRT/UADB-

08/06/2021 Année 2021-Dr Diery NGOM 10
 Protocoles et numéros d’ACL

Plage Protocole

1-99 IP standard

100-199 IP étendus

Cours de Routage & Commutation-L3 SRT/UADB-

08/06/2021 Année 2021-Dr Diery NGOM 11
  Par exemple, si l’on affecte le numéro 30 à une ACL,
cela veut dire que cette ACL sera de type standard et
concernera le trafic IP.

Cours de Routage & Commutation-L3 SRT/UADB-

08/06/2021 Année 2021-Dr Diery NGOM 12
 Masque générique
 Un masque générique est associé à une adresse IP.

 Les chiffres 1 et 0 sont utilisés pour indiquer la façon

de traiter les bits de l'adresse IP correspondante.

 Le 0 pour vérifier et le 1 pour ne pas vérifier.

Cours de Routage & Commutation-L3 SRT/UADB-

08/06/2021 Année 2021-Dr Diery NGOM 13
 Exemple de détermination de masque
générique
 On veut vérifier (autoriser ou refuser) les sous réseaux
172.20.16.0 à 172.20.31.0.

 Les deux premiers octets de l’adresse IP sont identiques

16 s’écrit binaire : 0001 0000 et 31 en binaire: 0001 1111.

 Les bits commencent à être différents à partir du 4ème

bit de ce 3ème octet. A partir de là on met tous les bits à
1 à Le masque générique est alors 0.0.15.255
Cours de Routage & Commutation-L3 SRT/UADB-
08/06/2021 Année 2021-Dr Diery NGOM 14
 Création d’une ACL standard

 Voici la structure d’une ACL standard :

Router(config)#access-list <numéro-ACL> {deny |

permit} <adresse -d’origine> <masque générique>

Cours de Routage & Commutation-L3 SRT/UADB-

08/06/2021 Année 2021-Dr Diery NGOM 15
 Exemple de création d’une ACL standard

Cours de Routage & Commutation-L3 SRT/UADB-

08/06/2021 Année 2021-Dr Diery NGOM 16
On veut interdire au réseau «LAN invité » d’accéder au
réseau «LAN 1».

 1ère étape : création de l’ACL:

RouteurA(config)#access-list 1 deny 192.168.1.0 0.0.0.255

Routeur A(config)#access-list 1 permit any

Cours de Routage & Commutation-L3 SRT/UADB-

08/06/2021 Année 2021-Dr Diery NGOM 17
 Commentaire
 Le numéro de l’ACL est 1 : il s’agit donc d’une ACL ip
standard.
 L’adresse d’origine est 192.168.1.0 et le masque générique
est 0.0.0.255.
 On a donc bien interdit (deny) tous les postes du réseau
192.168.1.0/24.
 La deuxième ligne permet d’autoriser (permit) tout le
reste (any), car n’oublions pas qu’il y a toujours une
commande implicite «deny any» à la fin des ACL.

Cours de Routage & Commutation-L3 SRT/UADB-

08/06/2021 Année 2021-Dr Diery NGOM 18
  2nd étape : affectation de cette ACL à une interface
du routeur :

Routeur A(config)#interface E0
Routeur A(config-if)#ip access-group 1 out

Cours de Routage & Commutation-L3 SRT/UADB-

08/06/2021 Année 2021-Dr Diery NGOM 19
 Commentaire
 Le routeur qui a été choisi est Routeur A. En effet, avec les
ACL standards, comme on ne peut définir que l’adresse
d’origine, alors on place ces ACL au plus près de la
destination. Si on avait mis cette ACL sur le routeur B, on
aurait interdit l’accès à partir de ce routeur, alors qu’on ne
veut interdire que l’accès au réseau «LAN 1».
 L’ACL est définie en «out» : on interdit donc le trafic
provenant du réseau « LAN invité » à sortir sur l’interface
E0 du réseau «LAN 1».
 Si on veut interdire du trafic à rentrer sur une interface,
on remplace «out» par «in».
Cours de Routage & Commutation-L3 SRT/UADB-
08/06/2021 Année 2021-Dr Diery NGOM 20
 Remarque
Si on ne définit ni «in» ni «out», la valeur «out» est
prise par défaut.

Cours de Routage & Commutation-L3 SRT/UADB-

08/06/2021 Année 2021-Dr Diery NGOM 21
 Création d’une ACL étendue
 Voici la structure d’une ACL étendue :

Router(config)# access-list <numéro-ACL> {permit |

deny} <protocol> <adresse-d’origine>
<masque générique> <adresse-destination >
<masque générique> <operateur-operande>
[established]

Cours de Routage & Commutation-L3 SRT/UADB-

08/06/2021 Année 2021-Dr Diery NGOM 22
 Commentaire
 Operateur-operande : lt, gt, eq, neq suivi d’un
numéro de port.

 Lt : pour lower than (plus petit que);

 Gt : pour greater than (plus grand que);
 Eq : pour equal (égal à);
 Neq : pour non equal (différent de).

 Established permet au trafic TCP de passer si les bits

ACK sont activées.
Cours de Routage & Commutation-L3 SRT/UADB-
08/06/2021 Année 2021-Dr Diery NGOM 23
 Exemple de création d’une ACL étendue

Cours de Routage & Commutation-L3 SRT/UADB-

08/06/2021 Année 2021-Dr Diery NGOM 24
  Pour cet exemple, on veut refuser au stagiaire d’accéder
au serveur TFTP.

Routeur C(config)#access-list 100 deny udp host

192.168.10.5 host 10.20.4.15 eq tftp
Routeur C(config)#access-list 100 permit ip any any

Cours de Routage & Commutation-L3 SRT/UADB-

08/06/2021 Année 2021-Dr Diery NGOM 25
 Commentaire
 On remarque que le mot host a été tapé avant les
adresses IP. Ce mot permet d’éviter de devoir taper le
masque générique près l’adresse IP.

 eq tftp indique qu’il faut interdire le trafic TFTP

uniquement.
 Le protocole indiqué est UDP qui est le protocole de
couche supérieure qui supporte le service TFTP.
 La deuxième ligne indique qu’il faut autoriser tout le
reste du trafic (IP) pour n’importe quelle source (any)
vers n’importe quelle destination (le deuxième any).
Cours de Routage & Commutation-L3 SRT/UADB-
08/06/2021 Année 2021-Dr Diery NGOM 26
 Assignation de l’ACL aux interfaces :

Routeur C(config)#int E0
Routeur C(config-if)#ip access-group 100 out

 On remarque que l’ACL a été placée sur le routeur C, au

plus proche de la source.
 Les ACL étendues nous permettent de spécifier l’adresse
de destination, il est donc possible de bloquer au plus
vite les paquets non désirés, et d’éviter qu’ils atteignent le
routeur A, et donc de ne pas polluer la bande passante du
réseau.
Cours de Routage & Commutation-L3 SRT/UADB-
08/06/2021 Année 2021-Dr Diery NGOM 27
 Les ACL nommées
 Voici la syntaxe des ACLs nommées :
Routeur C(config)#access-list {standard |
extended} <nom-ACL> instructions
 Reprenons l’exemple précédent, on peut nommer cette
ACL «stagiaire» ce qui sera plus parlant qu’un numéro.
On procède comme suit :
Routeur C(config)#access-list extended Stagiaire deny
Udp Host 192.168.10.5 host 10.20.4.15 eq tftp
Routeur C(config)#access-list Stagiaire permit ip any any
Routeur C(config-if)#ip access-group Stagiaire out
Cours de Routage & Commutation-L3 SRT/UADB-
08/06/2021 Année 2021-Dr Diery NGOM 28
 Vérifications des ACL
 Pour vérifier les ACL, on peut utiliser la commande
show access-lists pour afficher le contenu de toutes les
ACL.
 On peut également utiliser la commande show access-
lists suivie du nom ou du numéro d'une ACL pour
afficher le contenu de cette liste de contrôle d'accès.

Cours de Routage & Commutation-L3 SRT/UADB-

08/06/2021 Année 2021-Dr Diery NGOM 29
 Exemple de vérification d’ACL
#show ip interface (pour afficher les ACL appliquées à l’interface)
Router#show ip interface fa 0/0.3
FastEthernet0/0.3 is up, line protocol is up (connected)
Internet address is 192.168.3.254/24
Broadcast address is 255.255.255.255
Address determined by setup command
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Multicast reserved groups joined: 224.0.0.9
Outgoing access list is 2
Inbound access list is not set
Ici l’ACL n° 2 est appliquée en out à l’interface 0/03
Cours de Routage & Commutation-L3 SRT/UADB-
08/06/2021 Année 2021-Dr Diery NGOM 30