Sommaire

1) Théorie

1) ACL standard

1) ACL étendue

1) ACL nommée

1) Mise en place et vérification des ACLs

 Théorie

 Principe fondamental

 Masque générique
 Principe fondamental

 ACL*
 Liste séquentielle d’instructions
 Filtrage des paquets

 Filtrage
 Autoriser ou interdire
 En entrée ou en sortie

* Access Control List

 Principe fondamental (suite)

 Une ACL au maximum par

 Protocole
 Interface
 Direction
 Parcours des instructions

OUI Autoriser
Correspond Autoriser ou Transmission à
Paquet
à la règle ? refuser ? la file d’attente

NON Refuser

D’autres NON
règles explicites Poubelle
existes ?

OUI

Passer à la règle
suivante
 Critères spécifiables dans une ACL

 Adresses sources

 Adresses de destination

 Protocoles utilisés (toute couche)

 Numéros de ports (couche 4)

 Types d’ACLs

 ACL Numérotée
 Standard
 Étendue

 ACL nommée
 Standard
 Étendue

 Identifiable grâce au numéro ou au nom associé

 Avantage et inconvénients des ACLs

 Avantage

 Fournir une base de sécurité réseau

 Inconvénients

 Traitement CPU supplémentaire

 Latence réseau augmentée
 Configuration des ACLs

 2 étapes

 Création de l’ACL
 Application de l’ACL sur une interface réseau
 Précautions à prendre

 Instructions toujours parcourues de la 1ère à la

dernière, jusqu’à correspondance

 Si aucune correspondance
 Dernière instruction implicite utilisée (deny all)

 Si une ACL est appliquée mais non configurée alors

 1 Seule instruction = Instruction implicite (deny all)
 Tout trafic interdit
 Précautions à prendre (suite)

 Lors de la creation d’1 ACL

 Procéder du plus restrictif au plus générique

 Si 1 ACL IP est configurée pour interdir un paquet alors

 Elle envoie un message ICMP “Host Unreachable”

 Si 1 ACL est appliquée pour le trafic sortant alors

 Elle n’affecte pas le trafic provenant du routeur local
 Masque générique

 Utilisation de
 Préfixes réseaux
 Masques génériques (Wildcard Mask)

 Intérêt
 Identifier les plages d’addresses à autoriser ou à interdire

 32 bits
 Notation décimale pointée

 Signification binaire
 "0" = Doit correspondre
 "1" = Peut varier
 Masque générique (suite)

 Par rapport à un masque de sous-réseau

 Inversion binaire
 En notation décimale pointée = Complément à 255 du
masque de sous-réseau correspondant

Masque de
1111 1111.1111 1111.1110 000.0000 0000
sous-réseau
Masque
0000 0000.0000 0000.0001 111.1111 1111
générique

255 . 255 . 255 . 255

- 255 . 255 . 224 . 0 (Masque de sous-réseau)
= 0 . 0 . 31 . 255 (Masque générique)
 Écritures spécifiques

 Pour 2 masques génériques précis

 0.0.0.0 = 1 seule adresse

 {IP} {0.0.0.0} = host {IP}

 255.255.255.255 = Toutes les adresses

 {IP} {255.255.255.255} = any
 1) ACL standard

 Permet
 D’interdire ou d’autoriser les adresses réseaux
 De filtrer les informations dans les MAJ de routage

 Peut être spécifié

 Les adresses sources
 Création d’une ACL standard

 access-list {numéro} {permit | deny}

{préfixe} [masque générique] [log]

 access-list {numéro} {remark}

{commentaire}

 Mode de configuration globale

Exemple

Lab_A(config)#access-list 1 remark test d’ACL

Lab_A(config)#access-list 1 permit host 10.0.0.1
Lab_A(config)#access-list 1 deny 10.0.0.0 0.0.255.255
Lab_A(config)#access-list 1 permit any
 Création d’une ACL standard (suite)

 Ordre des instructions = Ordre des commandes

 Les nouvelles instructions ajoutées

 Toujours à la fin

 Impossible de
 Supprimer/modifier une instruction en particulier

 Pour faire une modification

 Copier/coller dans un éditeur de texte

 Effectuer les modifications voulues
 Supprimer l’ACL du routeur (no access-list « number »)
 Insérer les nouvelles instructions dans le routeur
 2) ACL étendue

 Permet
 D’interdire ou d’autoriser un type de trafic particulier
 De filtrer plus précisément qu’avec une ACL standard

 Peut être spécifiée

 Adresses sources
 Adresses de destination
 Protocoles
 Numéro de port
 Création d’une ACL étendue

 access-list {numéro} {permit | deny}

{protocole} {préfixe source} {masque
source} [{opérateur} {opérande}] {préfixe
destination} {masque destination}
[{opérateur} {opérande}] [icmp-type] [log]
[established]

 access-list {numéro} {remark}

{commentaire}
 Création d’une ACL étendue (suite)
 Protocole

 Nom (IP, TCP, UDP, etc.) ou numéro (de 0 à 255) de

protocole

 icmp-type

 Nom ou numéro de message ICMP à filtrer

 Established

 Uniquement avec TCP

 Correspond aux sessions TCP déjà établies
 Création d’une ACL étendue – Exemple

Lab_A(config)#access-list 101 remark test d’ACL étendue

Lab_A(config)#access-list 101 permit ip host 10.0.0.1 any
Lab_A(config)#access-list 101 deny ip 10.0.0.0 0.0.255.255 any
Lab_A(config)#access-list 101 permit tcp any any eq www
Lab_A(config)#access-list 101 deny udp any host 10.0.0.15 eq 53
Lab_A(config)#access-list 101 deny tcp any any range 6800 6999
Lab_A(config)#access-list 101 permit ip any any

Lab_A(config)#access-list 102 deny tcp any any eq 443

Lab_A(config)#access-list 102 deny udp any host 10.0.0.1 lt 1024
 Création d’une ACL étendue (suite)
 Ordre des instructions = Ordre des commandes

 Les nouvelles instructions ajoutées sont

 Toujours à la fin

 Impossible de
 Supprimer/modifier une instruction en particulier

 Pour faire une modification

 Copier/coller dans un éditeur de texte

 Effectuer les modifications voulues
 Supprimer l’ACL du routeur
 Insérer les nouvelles instructions dans le routeur
 3) ACL nommée
 Depuis IOS 11.2

 Identification de l’ACL
 Chaîne alphanumérique au lieu d’un numéro

 Peut être de type

 Standard
 Étendue

 Intérêt

 Identifier facilement une ACL grâce à son nom

 Supprimer une instruction particulière

 Pas besoin de tout supprimer
 Création d’une ACL nommée

 ip access-list {standard | extended} {nom}

 remark {commentaire}

Standard
 {permit | deny} {préfixe} [masque] [log]

Etendue
 {permit | deny} {protocole} {préfixe source}
{masque source} [{opérateur} {opérande}]
{préfixe destination} {masque
destination}[{opérateur} {opérande}] [icmp-
type] [log] [established]
 Création d’une ACL nommée – Exemple

Lab_A(config)#ip access-list standard Test_ACL_Standard

Lab_A(config-std-nacl)#remark test d’ACL nommée standard
Lab_A(config-std-nacl)#deny host 10.0.0.1
Lab_A(config-std-nacl)#permit any

Lab_A(config)#ip access-list extended Test_ACL_Etendue

Lab_A(config-ext-nacl)#remark test d’ACL nommée étendue
Lab_A(config-ext-nacl)#deny tcp host 10.0.0.1 any eq 80
Lab_A(config-ext-nacl)#permit ip any any
 1) Mise en place et vérification des ACLs

 Mise en place d’une ACL

 Étape n°1 = Création (conception)
 Étape n°2 = Application

 Application possible sur

 Une interface
 Une ligne
 Application d’une ACL

 ip access-group {numéro | nom} {in | out}

 Mode de configuration d’interface

 access-class {numéro | nom} {in | out}

 Mode de configuration de ligne

Exemple

Lab_A(config)#interface FastEthernet 0/0

Lab_A(config-if)#ip access-group 101 out
Lab_A(config-if)#ip access-group 1 in

Lab_A(config)#line vty 0 4
Lab_A(config-line)#access-class 1 in
 Suppression d’une ACL

 no access-list {numéro | nom}

 Mode de configuration globale
 Commande show access-lists

 show access-lists [numéro | nom]

Lab_A#show access-lists
Standard IP access list 1
permit 10.0.0.1
deny 10.0.0.0, wildcard bits 0.0.255.255
permit any
Standard IP access list Test_ACL_Standard
deny 10.0.0.1
permit any
Extended IP access list 101
permit ip host 10.0.0.1 any
deny ip 10.0.0.0 0.0.255.255 any
permit tcp any any eq www
deny udp any host 10.0.0.15 eq domain
deny tcp any any range 6800 6999
permit ip any any
Extended IP access list 102
deny tcp any any eq 443
deny udp any host 10.0.0.1 lt 1024
Extended IP access list Test_ACL_Etendue
deny tcp host 10.0.0.1 any eq www
permit ip any any
 Commande show ip interface

 show ip interface [{type} {numéro}]

Lab_A#show ip interface FastEthernet 0/0

FastEthernet0/0 is up, line protocol is up
Internet address is 20.0.0.1/8
Broadcast address is 255.255.255.255
Address determined by setup command
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Outgoing access list is 101
Inbound access list is 1
--More--
Placement des ACLs
Questions types CCNA
Questions types CCNA
Questions types CCNA