ACL Standard CISCO – Liste de Contrôle d’Accès

ACL - Liste de Contrôle d’Accès

Objectifs
Il est parfois nécessaire de contrôler le trafic entre réseaux pour interdire ou filtrer les accès
au réseau à protéger. Les listes de contrôle d’accès ou ACL (Access Control Lists), « listes
d’accès » ou Access Lists… permettent ainsi aux routeurs CISCO de contrôler ce trafic.
L’usage le plus courant des listes de contrôle d’accès est le filtrage des paquets. Sans ce
filtrage, tous les paquets pourraient être transmis n’importe où sur le réseau. Leur filtrage
permet de contrôler les mouvements de ceux-ci sur le réseau. Les listes de contrôle d’accès
ACL (Access Control Lists) offrent un outil puissant pour contrôler le réseau. Elles permettent
de filtrer le flux des paquets entrant et sortant sur les interfaces du routeur.

Moyens nécessaires
 2 Routeurs manageables CISCO 2600,
 2 Switchs,
 4 PC.

Ce TP peut également être effectué sur un simulateur Boson Netsim.

Préparation
La configuration de départ doit être établie de telle sorte que toutes les stations soient
correctement interconnectées (ping) entre-elles. Installez et configurez le réseau présenté ci-
dessus. Paramétrez les adresses IP sur les interfaces des routeurs et les postes… Au besoin
vous devrez réinitialiser routeurs et/ou switchs.
Effacer la configuration du routeur
S’il faut réinitialiser les routeurs, entrez les commandes suivantes :
Router_1# erase startup-config
Router_1# reload
Activer le routage dynamique sur les routeurs
Les routeurs doivent mettre en œuvre un service de routage (par exemple RIP - voir si besoin
le TP sur le routage dynamique RIP). Les commandes sont en principe les suivantes :
Routeur_1# conf t
Routeur_1(config)# router rip
Routeur_1(config-router)# network 200.100.100.0
Routeur_1(config-router)# network 192.168.1.0
Routeur_1(config-router)# end
Maj. : 04/12/2012 - PAG - 1/3
ACL Standard CISCO – Liste de Contrôle d’Accès

Supprimer les VLAN sur les switchs (s’il y en a)

Travail à faire
Visualiser la présence d’anciennes ACL
Pour vérifier si d’anciennes ACL subsistent, entrez la commande suivante :
Routeur_1# show access-list (ou sh ac c’est plus rapide)
Supprimer les ACL (s’il y en a)
Si d’anciennes ACL subsistent il faut les désactiver au moyen des commandes suivantes :
Routeur_1(config)# int fa 0/0 (interface à déconfigurer)
Routeur_1(config-if)# no ip access-group 1 out (ou in selon l’affichage précédent)
Routeur_1(config-if)# exit
Routeur_1(config)# no access-list 1 permit any (ou une des ACL existantes)
Vérifier la connectivité
Avant de passer au filtrage par ACL vérifions que tout le monde communique bien avec tout le
monde.
1. Faites des ping entre PC pour vérifier que tout passe bien entre tous les postes.
Créer une ACL standard
Nous allons créer une première ACL de type standard c’est à dire relativement simple et
n’opérant son filtrage qu’à partir de l’adresse IP source contenue dans le datagramme. Nous
allons tout d’abord interdire l’accès au réseau 192.168.1.0, pour le poste PCX d’adresse
172.16.16.1.
Rappelons la structure générique d’une ACL :
Router(config)#access-list numéro_d’ACL {permit|deny} instructions
Les ACLs standards utilisent des spécifications d’adresses simplifiées. Il faut identifier la liste
en lui attribuant un numéro unique (de 1 à 99, indicatifs d’un protocole IP standard).
Un masque (ne pas confondre avec le masque de sous-réseau…) est associé à une adresse IP
à tester. Les chiffres 1 et 0 sont utilisés pour indiquer la façon de traiter les bits de l'adresse
IP (0 pour vérifier et 1 pour ne pas vérifier).
1. Placez vous sur le routeur Routeur_1, passez en mode privilégié et entrez les commandes
suivantes :
Routeur_1# conf t
Routeur_1(config)# access-list 1 deny 172.16.16.1 0.0.0.0
Routeur_1(config)# access-list 1 permit any any any
Le routeur qui a été choisi est Routeur1. En effet avec les ACLs standards, comme on ne peut
définir que l’adresse d’origine du paquet (IP source), il vaut mieux placer ces ACLs « au plus
près » de la destination.
- Le numéro de l’ACL est 1 : il s’agit donc d’une ACL IP standard.
- L’adresse d’origine des paquets est 172.16.16.1 et le masque est 0.0.0.0.
- Les quatre octets du masque ne sont constitués que de 0. On vérifie donc exactement le
contenu de tous les octets de l’adresse qui transite sur l’interface. On a donc bien interdit
(deny) l’accès du poste 172.16.16.1.
- La deuxième ligne permet d’autoriser (permit) toutes les adresses source, destination…
(any any any)…, car n’oublions pas qu’il y a toujours une commande implicite « deny
any » à la fin des ACLs. En clair, si on ne met pas cette ligne permit, non seulement on

Maj. : 04/12/2012 - PAG - 2/3

ACL Standard CISCO – Liste de Contrôle d’Accès

interdit au poste 172.16.16.1 de se connecter… mais également à tous les autres puisqu’ils
seraient tous interdits par défaut !
Visualiser la présence et le contenu de l’ACL
Nous allons vérifier si l’ACL a bien été créée.
1. Entrez la commande suivante :
Routeur_1# show access-list (ou sh ac c’est plus rapide)
Vérifier la communication entre les éléments du réseau
Nous allons vérifier si l’ACL est mise en œuvre.
1. Faites un ping depuis PCX (172.16.16.1) vers PCA (192.168.1.1).
 Le ping passe-t-il ?  Oui  Non
 L’ACL s’applique-t-elle ?  Oui  Non
Affecter une ACL à une interface
L’ACL a bien été préparée mais elle n’est pas encore appliquée. Il faut donc l’affecter à une
interface du routeur.
1. Entrez les commandes suivantes :
Routeur_1(config)# int fa 0/0
Routeur_1(config-if)# ip access-group 1 out
Routeur_1(config-if)# end
L’ACL est définie en out : on va donc interdire le
trafic provenant du poste 172.16.16.1 à sortir
sur l’interface appartenant au réseau
192.168.1.0. On entre bien par l’interface
200.100.100.2 mais on ne « sort plus » par
l’interface 192.168.1.254.
Si on veut interdire le trafic en entrée sur une interface, on remplace « out » par « in ». Si on
ne définit ni « in » ni « out », la valeur « out » est prise par défaut.
Vérifier la communication entre les éléments du réseau
Nous allons maintenant vérifier si l’ACL est bien mise en œuvre.
1. Faites un ping depuis PCX (172.16.16.1) vers PCA (192.168.1.1).
 Le ping passe-t-il ?  Oui  Non
 L’ACL s’applique-t-elle ?  Oui  Non
Désactiver les ACL
Nous allons à présent désactiver les ACL.
1. Entrez les commandes suivantes :
Routeur_1# conf t
Routeur_1(config)# no access-list 1 permit any any any
Routeur_1(config)# end
Visualiser la présence d’ACL
Nous allons vérifier que l’ACL a bien été supprimée.
2. Entrez la commande suivante :
Routeur_1# sh ac

Maj. : 04/12/2012 - PAG - 3/3