une @ ipv4 (Internet Protocol version 4) est composée de 4 octets et 32 bits

une @ ipv6 (Internet Protocol version 6) est composée de 16 octets et 128 bits

une @ MAC (Media Access Control) est composés de 6 octets et 48 bits

Toute adresse IP est divisée en deux parties : - le net ID, - l’host ID, Identifiant de l’hôte identifie une
machine sur le réseau physique

➢ La partie réseau (Ned ID) Identifiant du réseau identifie un réseau physique et est commune à
l'ensemble des hôtes d'un même réseau,

➢ La partie hôte (Host ID) Identifiant de l’hôte identifie une machine sur le réseau physique et est
unique à l'intérieur d'un même réseau.

➢ L’adresse de diffusion (appelé broadcast) permet de communiquer avec toutes les @IP et a
comme particularité d’avoir la même partie réseau mais tous les bits hôte à 1.
Méthode permettant de déterminer la classe d’un réseau :

la position du premier « 0 » dans le premier octet de l’adresse en binaire donne la classe

1ère position 0xxx xxxx correspond à la classe A

Ex : 12.10.2.3 On a 12 = 8+4 = 1.2³ + 1.2² = 0000 1100 en binaire

2ème position 10xx xxxx pour la classe B

Ex : 131.2.3.15 ici 131 = 128 + 2 + 1 = 1.2⁷ + 1.2¹ + 1.2⁰ soit 1000 0011

3ème position 110x xxxx pour la classe C.

Ex : 194.100.25.254 194 = 128 + 64 + 2 = 1.2⁷ + 1.2⁶ + 1.2¹ donc 1100 0010

En informatique, une passerelle (en anglais, gateway) est le nom générique d'un dispositif
permettant de relier deux réseaux informatiques de types différents, par exemple un réseau local et
le réseau Internet.

Classful est une ancienne méthode de gestion des adresses IP basée sur des classes prédéfinies. Ces
classes étaient utilisées pour répartir les adresses IP en fonction de la taille du réseau. Il y avait trois
classes principales : A, B et C. Chaque classe avait une plage d'adresses IP fixe. Cependant, cette
méthode a été remplacée par le "Classless Inter-Domain Routing" (CIDR), qui permet une allocation
plus flexible et efficace des adresses IP en utilisant des préfixes de longueur variable. En résumé,
"classful" fait référence à une méthode obsolète de gestion des adresses IP basée sur des classes
fixes.

Les classes d'adresses

La classe A de l’adresse IP 0.0.0.0 à 126.255.255.255 (adresses privées et publiques).

La classe B de l’adresse IP 128.0.0.0 à 191.255.255.255 (adresses privées et publiques).

La classe C de l’adresse IP 192.0.0.0 à 223.255.255.255 (adresses privées et publiques).

La classe D de l’adresse IP 224.0.0.0 à 239.255.255.255 (adresses de multicast).

La classe E de l’adresse IP 240.0.0.0 à 255.255.255.255 (adresses réservées par l’IETF).

L'IETF (Internet Engineering Task Force) est une organisation mondiale composée de
volontaires qui travaillent ensemble pour développer et standardiser les technologies et les
protocoles liés à Internet. En d'autres termes, c'est un groupe de personnes qui collaborent
pour créer des règles et des normes communes qui permettent à Internet de fonctionner de
manière cohérente et interopérable. L'IETF joue un rôle essentiel dans l'évolution et
l'amélioration d'Internet en développant des spécifications techniques pour des éléments tels
que les protocoles de communication, les normes de sécurité et d'autres technologies liées à
Internet.

Classless est une méthode de gestion des adresses IP qui ne se base pas sur des classes prédéfinies,
contrairement à la méthode "classful". Dans un système "classless", les adresses IP sont gérées de
manière plus flexible en utilisant le CIDR (Classless Inter-Domain Routing). Avec le CIDR, les adresses
IP sont regroupées en blocs de taille variable, ce qui permet une allocation plus efficace des adresses
IP et une utilisation plus précise des ressources réseau. En résumé, "classless" signifie une approche
de gestion des adresses IP qui n'est pas limitée par des classes fixes, offrant ainsi plus de flexibilité.

CIDR (Classless Inter-Domain Routing) Le routage inter-domaines sans classe (CIDR) est une méthode
d'attribution d'adresses IP qui améliore l'efficacité du routage des données sur Internet. Un numéro
unique, appelé adresse IP, est associé à chaque machine, serveur et périphérique utilisateur final qui
se connecte à Internet. Les périphériques se trouvent et communiquent entre eux à l'aide de ces
adresses IP. Les entreprises utilisent le CIDR pour attribuer des adresses IP de manière flexible et
efficace sur leurs réseaux.

Expliquez les intérêts à segmenter un réseau.

La segmentation d'un réseau présente plusieurs avantages importants :

-Isolation des problèmes : En divisant un réseau en segments plus petits, il est plus facile d'isoler et
de résoudre les problèmes réseau. Si un segment a des problèmes, cela n'affectera pas
nécessairement les autres segments.

-Amélioration des performances : La segmentation permet de réduire le trafic inutile sur un segment
donné, ce qui peut améliorer les performances du réseau en réduisant la congestion.

-Sécurité renforcée : En segmentant un réseau, vous pouvez mettre en place des règles de sécurité
spécifiques pour chaque segment, renforçant ainsi la sécurité globale du réseau.

-Gestion plus efficace : La gestion des petits segments est généralement plus simple que celle d'un
réseau monolithique, ce qui facilite la configuration, la surveillance et la maintenance.

-Utilisation optimale des ressources : Vous pouvez allouer des ressources spécifiques à chaque
segment en fonction de ses besoins, ce qui permet une utilisation optimale des ressources réseau.

En résumé, la segmentation d'un réseau permet d'améliorer la gestion, la sécurité, les performances
et la résolution des problèmes, ce qui en fait une pratique courante dans la conception des réseaux
informatiques.
.METHODE « MAGIC NUMBER »

1. Principe

Le nombre magique = 256 – octet significatif (dans lequel il y a la séparation).

Dans 255.224.0.0, l’octet significatif est 224, donc nombre magique = 256 – 224 = 32.

Nous allons pouvoir calculer directement la première et dernière adresse de la plage.

2. Méthode

1) Écrire tous les multiples du nombre magique.

2) La première adresse du réseau est le multiple du nombre magique inférieur ou égal à l’octet
correspondant dans

l’adresse.

3) La dernière adresse est le multiple suivant -1.

Le but du masque de sous-réseau.

Le but principal du masque de sous-réseau est de diviser une adresse IP en deux parties : la
partie qui identifie le réseau et la partie qui identifie un hôte spécifique sur ce réseau. Le
masque de sous-réseau indique quelles parties de l'adresse IP sont réservées pour le réseau
et quelles parties sont disponibles pour les hôtes.

Le masque de sous-réseau est un séparateur entre la partie réseau et la partie machine d’une
adresse IP.

La différence entre une passerelle et une interface.

Une passerelle (gateway en anglais) est un périphérique ou un logiciel qui permet de connecter un
réseau local à un réseau externe, comme Internet. Elle sert de point de sortie vers un réseau distant
et facilite le routage des données entre les deux réseaux. En d'autres termes, c'est une porte
d'entrée ou de sortie entre deux réseaux distincts.

Une interface, en revanche, fait référence à la connexion physique ou logique d'un appareil à un
réseau. Elle peut être une carte réseau dans un ordinateur, un port sur un commutateur réseau ou
un point de connexion à un réseau sans fil. L'interface permet à l'appareil de communiquer avec
d'autres appareils au sein du même réseau ou à travers une passerelle vers un réseau externe.

En résumé, une passerelle connecte deux réseaux différents, tandis qu'une interface est la connexion
d'un appareil individuel à un réseau, qu'il s'agisse d'un réseau local ou d'un réseau externe via une
passerelle.
Les différences entre les IPv4 et IPv6.

Taille des adresses :

-IPv4 utilise des adresses IP de 32 bits, ce qui limite le nombre total d'adresses disponibles.

-IPv6 utilise des adresses IP de 128 bits, offrant un espace d'adressage beaucoup plus vaste.

Nombre d'adresses :

-IPv4 a un nombre limité d'environ 4 milliards d'adresses, ce qui a conduit à l'épuisement des
adresses IPv4.

-IPv6 offre un nombre astronomiquement élevé d'adresses (plus de 340 milliards de milliards de
milliards de milliards), ce qui résout le problème de pénurie d'adresses.

Notation :

-IPv4 utilise une notation décimale (par exemple, 192.168.1.1) pour représenter les adresses IP.

-IPv6 utilise une notation hexadécimale (par exemple, 2001:0db8:85a3:0000:0000:8a2e:0370:7334)

pour représenter les adresses IP, ce qui les rend plus longues mais permet de gérer un plus grand
nombre d'adresses.

Support de sécurité :

-IPv4 a introduit des mécanismes de sécurité tels que IPsec, mais leur utilisation n'est pas
généralisée.

-IPv6 intègre la sécurité avec IPsec, ce qui le rend plus sécurisé par défaut.

Configuration automatique :

-IPv4 nécessite souvent une configuration manuelle ou l'utilisation de protocoles tels que DHCP pour
attribuer des adresses IP aux appareils.

-IPv6 prend en charge la configuration automatique des adresses, simplifiant le processus de

connectivité pour les appareils.

En résumé, IPv6 a été développé pour résoudre les limitations d'IPv4 en termes de nombre
d'adresses, en améliorant la sécurité et en simplifiant la configuration, tout en utilisant des adresses
IP beaucoup plus longues.

Quel est l'objectif du DHCP ?

Le protocole DHCP (Dynamic Host Configuration Protocol) est utilisé pour attribuer dynamiquement
des adresses IP et d'autres paramètres de configuration réseau aux périphériques sur une période de
temps prédéfinie.
FQDN = Fully Qualified Domain Name = désigne l'adresse complète et unique d'un site Internet.

Un domaine de premier niveau ou TLD (top-level domain) est le domaine le plus générique de toute
la hiérarchie DNS (système de noms de domaine) d'Internet. Un TLD est la composante finale d'un
nom de domaine, par exemple, le "org" dans developer.mozilla.org

Un domaine de deuxième niveau ou un SLD (Second Level Domain) est la partie du nom de domaine
qui est hiérarchiquement directement sous un TLD (Top Level Domain)

Par exemple, dans mozilla.org , le SLD est mozilla et le TLD est org . Un nom de domaine ne se limite
pas à un TLD et un SLD

MSR = masque de sous-réseau

--------------------------------------------------

Stucture d'une adresse web

|nom de domaine|
HTTPS:// www. google .com .<<Racine

Protocole Hostname SLD TLD

------------------------------------------------------

port 80 http web

port 8080 http web

port 443 Le protocole HTTPS (Hyper Text Transfer Protocol Secure)

port 22 SSH

port 21 FTP

SNMP (Simple Network Management Protocol) est un protocole de couche d'application utilisé pour
la surveillance et la gestion des périphériques réseau sur les réseaux TCP/IP

port SNMP 161 pour l'agent (la bibliothèque)

port SNMP 162 pour le gestionnaire (l'hôte)

Active Directory peut être interrogé sur le port 389 (pour un simple contrôleur de domaine) et sur le
port 3268 dans le cas d’un contrôleur de domaine qui est catalogue globale
Il existe des moyens mnémotechniques en partant du bas pour retenir les couches OSI :

Partout Le Roi Trouve Sa Place Assise.

Pour Le Reseau Tout. Se Passe Automatiquement.

Une table de routage est une structure de données utilisée par un routeur ou un ordinateur en
réseau

Que signifie TCP/IP ? TCP/IP signifie Transmission Control Protocol/Internet Protocol (Protocol de
contrôle des transmissions/Protocole Internet). TCP/IP est un ensemble de règles normalisées
permettant aux ordinateurs de communiquer sur un réseau tel qu'Internet.

les adresses APIPA pour "Automatic Private Internet Protocol Addressing" soit "Adressage
automatique du protocole IP". Il s'agit en réalité d'une adresse que la machine va s'attribuer
automatiquement si les requêtes DHCP effectuées auparavant échouent.

VLSM , "variable-length subnet masking" (« masque de sous-réseaux à longueur variable »).

Nommer et définir les éléments à configurer dans un pool DHCP.

1 Plage d'adresses IP : Il s'agit de la plage d'adresses IP qui peut être attribuée aux clients. Les
adresses IP dans cette plage sont allouées dynamiquement par le serveur DHCP.

2 Masque de sous-réseau : Le masque de sous-réseau définit la portée du réseau en spécifiant quelle

partie de l'adresse IP est la partie réseau et quelle partie est la partie hôte.

3 Passerelle par défaut (Routeur) : Il s'agit de l'adresse IP du routeur ou de la passerelle que les
clients utilisent pour accéder à d'autres réseaux ou à Internet.

4 Serveurs DNS : Les adresses IP des serveurs DNS (Domain Name System) qui permettent aux clients
de résoudre les noms de domaine en adresses IP.

5 Nom de domaine : Le nom de domaine DNS que les clients utilisent pour la résolution de noms
locaux.

6 Durée du bail (Lease Duration) : C'est la période pendant laquelle un client est autorisé à utiliser
l'adresse IP qui lui a été attribuée avant de devoir la renouveler.
7 Adresses exclues : Toute adresse IP spécifique à l'intérieur de la plage qui ne doit pas être attribuée
aux clients, souvent utilisée pour les périphériques statiques.

Ces éléments définissent collectivement la configuration réseau fournie par un serveur DHCP aux
clients d'un pool DHCP spécifique.

Donnez les paramètres IP nécessaires à un poste client pour naviguer sur Internet.

Les Paramètres ip nécessaires sont :

Une adresse ip, un masque sous réseau, une passerelle, un dns.

Est-il possible d’avoir plusieurs passerelles disponibles dans un sous-réseau ?

Oui c’est tout à fait possible suivant l’infrastructure du réseau.

Dans une infrastructure à 6 sous-réseaux : Quel sera le nombre de routes minimum dans
une table de routage ?

Le nombre minimum sera de 6 routes.

Qu’est-ce qu’un SSID ?

SSID veux dire “Service SET Identifier”
Il désigne le nom que porte le réseau sans fil (WiFi).

Expliquez les différences entre une radio en 2.4Ghz et 5Ghz ?

2,4 GHz : C'est comme une autoroute plus large mais plus encombrée. La bande de
fréquences de 2,4 GHz est utilisée par de nombreux appareils, ce qui peut causer des
interférences et réduire la vitesse de votre Wi-Fi. Cependant, elle a une meilleure portée à
travers les murs et les obstacles.

5 GHz : C'est comme une route moins encombrée mais plus étroite. La bande de fréquences
de 5 GHz est moins encombrée, ce qui signifie moins d'interférences et des vitesses de Wi-Fi
plus rapides. Cependant, elle a une portée légèrement plus courte et peut avoir du mal à
traverser les murs épais.

En résumé, le 2,4 GHz est meilleur pour la portée, mais peut être plus lent en raison de la
congestion. Le 5 GHz offre des vitesses plus rapides, mais a une portée légèrement plus
limitée et fonctionne mieux dans des environnements moins encombrés. Le choix dépend de
vos besoins et de votre environnement.
 Les ACLs

ACL : à quoi cela sert-il ?

C’est l’outil de base pour le filtrage des paquets IP (niveau 3)

Interdire certaines actions à certains utilisateurs

Une ACL indique au routeur quels sont les paquets qu’il doit accepter ou refuser

contrôle du trafic (seuls les paquets autorisés circulent)

amélioration de la performance du réseau (limitation du trafic)

Les ACLs (Listes de Contrôle d'Accès) sont des règles définies par l'administrateur réseau pour
contrôler le trafic entrant ou sortant d'un routeur Cisco. Elles spécifient quels types de données sont
autorisés ou refusés en fonction de critères tels que les adresses IP source et de destination, les
ports, etc.

Les ACEs (Entrées de Contrôle d'Accès) sont les éléments individuels au sein des ACLs. Chaque ACE
précise les conditions d'autorisation ou de refus pour un trafic particulier, comme autoriser ou
refuser le trafic provenant d'une adresse IP spécifique.

En résumé, les ACLs et les ACEs au niveau des routeurs Cisco sont des mécanismes de contrôle du
trafic qui permettent de décider quelles données peuvent traverser le routeur en fonction de règles
précises. Les ACLs contiennent plusieurs ACEs qui spécifient les détails de ces règles.

ACL standards
Dans ce type, l’ACL ne peut être liée qu'à l’adresse IP source du paquet. Ces ACLs sont
identifiables par identifiant correspondant à un nombre allant de 1 à 99 et de 1300 à 1999.
Les ACL étendues suivent la même logique que les ACL standards, elles sont identifiables par
un numéro, allant de 100 à 199 et de 200 à 2699.

Router(config)#access-list 1 deny 10.1.2.0 0.0.0.255

En précisant "access-list 1" on attribue un ID à notre ACL, puis ensuite on précise que l'on
veut refuser avec "deny", et enfin on précise l'adresse IP de destination (10.1.2.0) et le masque
au format inversé appelé wildcards mask (0.0.0.225).

Commandes Standard:
# access-list N° {permit | deny} {adresse} { Wild-card Mask }
# access-list N° {permit | deny} any any
# interface "nom d'interface"
# ip access-group N° {in | out}
Les ACLs standard sont principalement basées sur les adresses IP source.
Elles sont utilisées pour des tâches de contrôle d'accès simples, telles que permettre ou bloquer le
trafic à partir d'un groupe d'adresses IP spécifiques.
Les ACLs standard sont appropriées pour des scénarios de contrôle d'accès de base, comme le
blocage de certaines adresses IP externes.

Les ACL étendues

Les ACL étendues présentent plusieurs similitudes par rapport aux ACL Standards décrites
dans la section précédente. Tout comme une ACL standard, on active les ACL étendues sur
les interfaces pour les paquets entrants ou sortants, puis le routeur cherche dans la liste de
manière séquentielle.
Les ACL étendues utilisent également la logique de première correspondance, car dès que la
première instruction est mise en correspondance, le routeur arrête la recherche dans la liste
d'ACL, en effectuant l’action définie.

Il est à noter que les ACLs étendues peuvent aussi examiner des parties d'en-têtes TCP ou
UDP, en particulier les champs qui contiennent le numéro de port source et port de
destination. Les numéros de port identifient le service qui envoie ou reçoit les données.

ACL Étendue :

Les ACLs étendues permettent de définir des règles de contrôle d'accès plus complexes en se
basant sur une gamme plus large de critères, tels que les adresses IP source et de destination,
les ports, les protocoles, etc.
Elles sont utilisées pour des scénarios de contrôle d'accès plus avancés, comme la
configuration de pare-feu, la redirection de ports, la gestion du trafic spécifique à des
applications, etc.
Les ACLs étendues offrent une flexibilité beaucoup plus grande que les ACLs standard pour
la définition des règles de sécurité.
Voici quelques questions à vous poser pour vous aider à choisir entre une ACL standard et
une ACL étendue :

Quels critères de correspondance avez-vous besoin ? Si vous devez prendre en compte des
éléments tels que les adresses IP source et de destination, les ports, les protocoles, alors une
ACL étendue est probablement nécessaire.
Quels sont vos besoins de sécurité spécifiques ? Si vous avez besoin de règles de sécurité plus
complexes, comme la gestion du trafic d'applications spécifiques ou la configuration de règles
de pare-feu avancées, une ACL étendue est plus appropriée.
Si vous avez simplement besoin de bloquer ou d'autoriser l'accès en fonction d'un groupe
spécifique d'adresses IP sources, une ACL standard pourrait suffire.

Exemples de commandes :
access-list 101 deny ip any host 10.1.1.1
Refus des paquets IP à destination de la machine
10.1.1.1 et provenant de n'importe quelle source
On doit préciser le protocole (IP).

access-list 101 deny tcp any gt 1023 host 10.1.1.1 eq 23

Refus de paquet TCP d'un port source > 1023 et à
destination du port 23 de la machine d'IP 10.1.1.1
Opérateurs de comparaison sur les ports :
lg (<), gt (>), eq (=), ne (≠), le (≤), ge (≥), range

access-list 101 deny tcp any host 10.1.1.1 eq http

Refus des paquets TCP à destination du port 80 de la machine d'IP 10.1.1.1
Utilisation de mots clés pour les ports « well-known » http ou www (80) , ftp (21), pop (110),
smtp (25) ...

ACL standard : au plus près de la destination.

ACL étendue : au plus près de la source.

En résumé :

Les ACL vous permettent de créer des règles autorisant ou interdisant l'accès à un
réseau.

Il existe deux types d’ACL :

Les standards qui permettent de configurer la source et doivent être placés au plus près
de la destination.

Les étendues qui permettent de renseigner la source, la destination ainsi que le port et
doivent être placées au plus près de la source.

Les ACL peuvent soit autoriser soit interdire un réseau.

Une fois créée L’ACL doit être associée à une interface.

Les règles des ACL se lisent de haut en bas, l’ordre a donc une importance.

Les règles les plus précises doivent être placées en haut et les plus générales en bas.
Pour créer une ACL standard, il faut entrer la commande :

routeur(config)#access-list n°1-99 deny/permit réseau masqueInversé

Pour créer une ACL étendue, il faut entrer la commande :

routeur(config)#access-list n°100-199 deny/permit protocole réseauSource masqueInversé

réseau Destination masqueInversé n°port

Ces deux types d’ACL peuvent être renseignés par un nom au lieu d’utiliser un
numéro :

routeur(config)#ip access-list standard/extended Nom

routeur(config-ext-nacl)#deny/permit protocol réseauSource masqueInversé réseau

Destination masqueInversé n°port

Quand le mot "tcp" ou "udp" est inclus dans la règle de l'ACL, cela permet de préciser le port
source et le port de destination afin d'avoir une règle plus précise.
Voici un exemple :
Router(config)#access-list 100 permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq 21

Différence entre access-list et access-group.

une access-list est une liste de règles de contrôle d'accès que vous définissez, tandis qu'un
access-group est un mécanisme utilisé pour appliquer cette access-list à une interface réseau
spécifique.
Exemple :
Router(config)#access-list 100 permit icmp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255
Router(config)#interface fa 0/1
Router(config-if)#ip access-group 100 in

Placer les règles les plus précises en premières et les règles les plus globales en dernières.

routeur1(config)#no access-list 100 commande pour supprimez l’ACL 100

Pour supprimer une ACE spécifique (par exemple, la 20e) d'une ACL

Accédez au mode de configuration :

Router#configure terminal
Entrez dans la configuration de l'ACL en utilisant la commande "access-list" avec le numéro de l'ACL
(par exemple, 100) :
Router(config)#access-list 100
Supprimez la 20e ACE avec la commande "no" suivie du numéro de séquence (20) :
Router(config)#no 20
Sauvegardez la configuration :
Router(config)#write memory
access-list {numéro} remark {votre commentaire}
Permet d'ajouter des commentaires ou des annotations aux règles de l'ACL pour une meilleure
compréhension et documentation.
Exemple :
access-list 100 remark Autoriser le trafic HTTP depuis le réseau interne
access-list 100 permit tcp 192.168.1.0 0.0.0.255 any eq www
access-list 100 remark Bloquer le trafic FTP depuis des sources
inconnues
access-list 100 deny tcp any any eq ftp

Router# sh access-list
Pour voir la liste complète des ACLs du routeur et pour voir les ACEs

Router# sh ip interface votreinterface

Pour connaitre les ACLs appliqué à l’interface.

Accédez au mode d'exécution privilégiée

Router>enable
Entrez la commande "show ip access-list" suivie du numéro de l'ACL que vous souhaitez
afficher. Par exemple, si vous avez une ACL avec le numéro 100 que vous souhaitez voir,
utilisez la commande comme suit :
Router#show ip access-list 100
Si vous ne spécifiez pas de numéro d'ACL, la commande affichera la liste de toutes les ACLs
configurées sur le routeur.
Une fois la commande entrée, le routeur affichera les détails de l'ACL, y compris les règles de
l'ACL, les conditions de correspondance, les actions "permit" ou "deny", ainsi que d'autres
informations telles que le nombre de correspondances (si une règle a été utilisée) et les
statistiques.
Pour sortir de la sortie de la commande "show ip access-list" et revenir au mode d'exécution
privilégiée, appuyez sur la touche "Ctrl+C" ou entrez la commande "exit".
La commande "show ip access-list" permet de voir si une ACE (Entrée de Contrôle d'Accès) a
été matchée en affichant des statistiques de correspondance pour chaque règle de l'ACL
(Liste de Contrôle d'Accès). Elle vous montrera le nombre de correspondances (matches) pour
chaque règle de l'ACL, ce qui indique combien de fois cette règle a été appliquée avec succès
au trafic réseau.

Les termes "it" (inférieur à), "gt" (supérieur à), "eq" (égal à) et "neq" (différent de) sont des
opérateurs utilisés dans les ACLs (Listes de Contrôle d'Accès) pour spécifier des conditions de
correspondance basées sur des numéros de port, notamment pour le filtrage de trafic en fonction
des numéros de port source ou de destination. Voici comment les utiliser :

"it" (inférieur à) : Cet opérateur permet de spécifier que la règle s'applique si le numéro de port est
inférieur à la valeur spécifiée. Par exemple, "lt 80" signifie que la règle s'applique aux numéros de
port inférieurs à 80.
"gt" (supérieur à) : Cet opérateur permet de spécifier que la règle s'applique si le numéro de port
est supérieur à la valeur spécifiée. Par exemple, "gt 1024" signifie que la règle s'applique aux
numéros de port supérieurs à 1024.

"eq" (égal à) : Cet opérateur permet de spécifier que la règle s'applique uniquement si le numéro
de port correspond exactement à la valeur spécifiée. Par exemple, "eq 22" signifie que la règle
s'applique uniquement au numéro de port 22.

"neq" (différent de) : Cet opérateur permet de spécifier que la règle s'applique si le numéro de port
est différent de la valeur spécifiée. Par exemple, "neq 25" signifie que la règle s'applique à tous les
numéros de port sauf 25.

Voici un exemple d'utilisation de ces opérateurs dans une ACL pour filtrer le trafic TCP en
fonction des numéros de port source :

access-list 100 permit tcp any any gt 1024 ! Autorise le trafic TCP
depuis des ports source supérieurs à 1024
access-list 100 deny tcp any any eq 25 ! Bloque le trafic TCP
depuis le port source 25 (SMTP)
access-list 100 permit tcp any any neq 80 ! Autorise le trafic TCP
depuis tous les ports source sauf le port 80 (HTTP)

Dans cet exemple, les opérateurs "gt", "eq" et "neq" sont utilisés pour définir les conditions de
correspondance pour différentes règles de l'ACL 100, en se basant sur les numéros de port source.

Router# sh run
Pour vérifier la configuration.

L’exemple suivant se concentre sur la compréhension de la syntaxe de base. Ici, l'objectif est de créer
une ACL pour empêcher l'utilisateur David d’utiliser le protocole FTP pour se connecter sur les
serveurs. Pour cela, on va le bloquer en entrée sur l’interface Gi0/0 de R3, car c’est l’interface la plus
proche de la source, donc l’ACL sera associée à cette interface. Quant à l'utilisateur Florian, on va lui
interdire l’accès au serveur Web de serveur1. Dans cet exemple, on active l’ACL sur R2 en entrée de
l'interface Gi0/0.

Voici la topologie :

Je vous propose que l'on se connecte sur R3 afin de créer la première règle.
La première chose à faire, c’est interdire David d’accéder à tous les serveurs FTP :
access-list 101 deny tcp host 172.16.3.10 172.16.1.0 0.0.0.255 eq ftp
Au sein de la commande ci-dessus, on précise bien l'hôte de David avec "host 172.16.3.10",
car cela correspond à la source à bloquer selon notre schéma initial.
La deuxième règle va permettre d'autoriser tout le reste du trafic :
access-list 101 permit ip any any

On applique l'ACL à l'interface concernée :

R3(config)# interface gi0/0

R3(config-if)#ip access-group 101 in

Interdisons maintenant à Florian d’accéder au serveur Web :

access-list 101 deny tcp host 172.16.2.10 host 172.16.1.100 eq www

Encore une fois, on autorise tout le reste du trafic ensuite :

access-list 101 permit ip any any

Après avoir créé les règles d'ACL, il nous reste plus qu’à les appliquer toujours à partir du
routeur R2 :
R2(config)# interface gi0/0
R2(config-if)#ip access-group 101 in

Wildcard Mask :

Un Wildcard Mask est essentiellement l'inverse d'un masque de sous-réseau standard. Alors
qu'un masque de sous-réseau standard indique quelles parties d'une adresse IP sont "fixes"
(identifiant le réseau) et quelles parties sont "variables" (identifiant les hôtes), un Wildcard
Mask indique quelles parties de l'adresse IP sont "variables" (à prendre en compte) et quelles
parties sont "fixes" (à ignorer).
Par exemple, si vous avez une adresse IP 192.168.1.0 avec un masque de sous-réseau de
255.255.255.0, un Wildcard Mask correspondant serait 0.0.0.255.
Il suffit de soustraire le masque sous réseau à 255 pour obtenir le Wildcard Mask.

255.255.255.0
-255.255.255.255
_____________________
0. 0. 0. 255

eq :
Concernant « eq » il s’agit d’un opérateur qui veut dire égal, et le numéro de port 21 utilisé par le
serveur FTP. On autorise le réseau 10.1.1.0/24 à communiquer sur le port 21 (pour le FTP) avec le
réseau 10.1.2.0/24.

ACLs nommées

Les ACLs nommées identifient les ACLs pour IP standards et étendues par des noms plutôt que des
numéros

Elles sont utiles dans les situations suivantes :

-Identifier plus intuitivement une ACL

- Configurer plusieurs ACL standard et plusieurs ACL étendues dans un routeur pour un protocole
donné

- Supprimer des règles (instructions) individuelles au lieu de toute l'ACL

Définition d’une ACL nommée

ip access-list {standard | extended} name

Exemple :

Router(config)# ip access-list extended lenomdemonacl

Router(config-ext-nacl)# deny tcp host 10.1.1.2 eq www any

Router(config-ext-nacl)# deny ip 10.1.1.0 0.0.0.255 any

Router(config-ext-nacl)# permit ip any any

Pour supprimer une des règles, il suffit de faire

ip access-list {standard | extended} name (pour rentrer dans la configuration de l’ACL).

« no » règle-à-supprimer comme

Router(config)# ip access-list extended lenomdemonacl

Router(config-ext-nacl)# no deny ip 10.1.1.0 0.0.0.255 any

Il est conseillé de :

-Créer les ACL à l'aide d'un éditeur de texte et de faire un copier/coller dans la configuration du
routeur.

-Placer les ACL étendues au plus près de la source du paquet pour le détruire le plus vite possible.

-Placer les ACL standard au plus près de la destination sinon, vous risquez de détruire un paquet trop
tôt (les ACL standard ne regardent que l'IP source).

-Placer la règle la plus spécifique en premier

- désactiver une ACL sur l'interface concernée avant de faire le moindre changement :

no ip access-group
 Le NAT

Le NAT en configuration statique :

Le NAT en configuration dynamique :
Le PAT (Port Address Translation) Overload :

Calcul rapide IDSR et Broadcast :