Académique Documents
Professionnel Documents
Culture Documents
Introduction
Dans la communauté fermée où vivent vos grands-parents, il existe des règles pour qui peut
entrer et sortir des lieux. Le garde ne lèvera pas la porte pour vous laisser entrer dans la
communauté jusqu'à ce que quelqu'un confirme que vous êtes sur une liste de visiteurs
approuvée. Tout comme le gardien dans la communauté fermée, le trafic réseau passant par une
interface configurée avec une liste de contrôle d'accès (ACL) autorise et refuse le trafic. La
question ici est de savoir : Comment configurez ces ACL ? Comment les modifier s'ils ne
fonctionnent pas correctement ou s'ils nécessitent d'autres modifications ?
Une liste de contrôle d'accès est une série de commandes IOS utilisées pour filtrer les paquets
en fonction des informations trouvées dans l'en-tête du paquet. Par défaut, un routeur n'a aucune
ACL configurée. Cependant, lorsqu'une ACL est appliquée à une interface, le routeur effectue
la tâche supplémentaire d'évaluer tous les paquets réseau lorsqu'ils traversent l'interface pour
déterminer si le paquet peut être transféré.
Une ACL utilise une liste séquentielle d'instructions d'autorisation ou de refus, appelées entrées
de contrôle d'accès (ACE).
Lorsque le trafic réseau passe par une interface configurée avec une ACL, le routeur compare
les informations contenues dans le paquet à chaque ACE, dans un ordre séquentiel, pour
déterminer si le paquet correspond à l'une des ACE. Ce processus est appelé filtrage de paquets
Filtrage de paquets
Le filtrage de paquets contrôle l'accès à un réseau en analysant les paquets entrants et/ou
sortants et en les transmettant ou en les rejetant en fonction de critères donnés. Le filtrage de
paquets peut se produire au niveau de la couche 3 ou de la couche 4.
▪ ACL numérotées
Les ACL de numéro 1 à 99, ou 1300 à 1999 sont des ACL standard tandis que les ACL de
numéro 100 à 199, ou 2000 à 2699 sont des ACL étendues. On peut voir cette liste en tapant
la commande suivante :
▪ ACL nommées
Les listes de contrôle d'accès nommées sont la méthode préférée à utiliser lors de la
configuration des listes de contrôle d'accès. Plus précisément, les ACL standard et étendues
peuvent être nommées pour fournir des informations sur l'objectif de l'ACL.
Par exemple, nommer une ACL étendue FTP-FILTER est bien mieux que d'avoir une ACL
numérotée 100.
La commande de configuration globale ip access-list est utilisée pour créer une ACL nommée,
comme illustré dans l'exemple suivant.
On peut résumer les règles à suivre pour les ACL nommées comme suit :
Fonctionnement de la LCA
Les ACL définissent l'ensemble de règles qui donnent un contrôle supplémentaire pour les
paquets qui entrent dans les interfaces entrantes, les paquets qui transitent par le routeur et les
paquets qui sortent des interfaces sortantes du routeur.
Les ACL peuvent être configurées pour s'appliquer au trafic entrant et au trafic sortant, comme
illustré dans la figure.
Remarque : les ACL n'agissent pas sur les paquets provenant du routeur lui-même.
Lorsqu'une ACL est appliquée à une interface, elle suit une procédure de fonctionnement
spécifique. Lorsque le trafic est entré dans une interface de routeur avec une ACL IPv4 standard
entrante configurée, voici par exemple les étapes opérationnelles utilisée :
La commande pour appliquer une ACL IPv4 étendue à une interface est la même que la
commande utilisée pour les ACL IPv4 standard.
Remarque : La logique interne appliquée à l'ordre des instructions ACL standard ne s'applique
pas aux ACL étendues. L'ordre dans lequel les états sont saisis lors de la configuration est l'ordre
dans lequel ils sont affichés et traités.
Protocoles et numéros de port
Exemples de configuration de protocoles et de numéros de port
Les listes de contrôle d'accès étendues peuvent filtrer sur différentes options de numéro de port
et de nom de port. Cet exemple configure une ACL étendue 100 pour filtrer le trafic HTTP. Le
premier ACE utilise le nom de port www. Le deuxième ACE utilise le numéro de port 80. Les
deux ACE obtiennent exactement le même résultat.
La configuration du numéro de port est requise lorsqu'aucun nom de protocole spécifique n'est
répertorié, tel que SSH (numéro de port 22) ou HTTPS (numéro de port 443), comme illustré
dans l'exemple suivant.
Dans l'exemple, l'ACL 120 est configurée pour autoriser uniquement le retour du trafic Web
vers les hôtes internes. La nouvelle ACL est ensuite appliquée en sortie sur l'interface R1
G0/0/0. La commande show access-lists affiche les deux ACL. Notez dans les statistiques de
correspondance que les hôtes internes ont accédé aux ressources Web sécurisées à partir
d'Internet.
Modifier les ACL
Une fois qu'une ACL est configurée, il peut être nécessaire de la modifier. Les ACL avec
plusieurs ACE peuvent être complexes à configurer. Parfois, l'ACE configuré ne produit pas
les comportements attendus. Pour ces raisons, les ACL peuvent initialement nécessiter un peu
d'essais et d'erreurs pour obtenir le résultat de filtrage souhaité.
La figure ci-après illustre l'emplacement des listes de contrôle d'accès standard et étendues
dans un réseau d'entreprise. Supposons que l'objectif est d'empêcher le trafic provenant du
réseau 192.168.10.0/24 d'atteindre le réseau 192.168.30.0/24.
Les listes de contrôle d'accès étendues doivent être situées le plus près possible de la source du
trafic à filtrer. De cette façon, le trafic indésirable est refusé à proximité du réseau source sans
traverser l'infrastructure du réseau.
Les listes de contrôle d'accès standard doivent être situées aussi près que possible de la
destination. Si une liste de contrôle d'accès standard a été placée à la source du trafic,
"l'autorisation" ou le "refus" se produira en fonction de l'adresse source donnée, quelle que soit
la destination du trafic.
➢ Cette configuration d’ACL permet à tous les hôtes du réseau interne de passer à travers
le Firewall ASA
➢ Par défaut, tout autre trafic est refusé, sauf autorisation explicite.
➢ L'ACL empêche les hôtes sur 192.168.1.0/24 d'accéder au réseau 209.165.201.0/27.
➢ Les hôtes internes sont autorisés à accéder à toutes les autres adresses.
➢ Tout autre trafic est implicitement refusé.
➢ L'ACL empêche tous les hôtes internes d'accéder à un service web situé au
209.165.201.29.
➢ Les hôtes internes sont autorisés à accéder à tous les autres services au 209.165.201.29.
➢ Les hôtes internes sont autorisés à accéder à toutes les autres adresses.
➢ Tout autre trafic est implicitement refusé.