Académique Documents
Professionnel Documents
Culture Documents
Figure 1
Les listes de contrôle d’accès doivent être définies en fonction d’un protocole, d’une
direction ou d’une interface. Pour contrôler le flux du trafic sur une interface, une ACL
doit être définie pour chaque protocole activé sur l’interface. Les ACL contrôlent le trafic Auteur : Abdellatif Hajraoui
dans une seule direction à la fois sur une interface. Une ACL séparée doit être créée pour
chaque direction : une pour le trafic entrant et une pour le trafic sortant. Enfin, chaque
interface peut avoir plusieurs protocoles et directions définis.
1
Figure 2
2
Exemple de configuration
3
Auteur : Abdellatif Hajraoui
Figure 3
Les règles de base suivantes doivent être respectées lors de la création et de l’application
des listes d’accès :
Une liste d’accès par direction et par protocole pour une interface.
Les listes d’accès standard doivent être appliquées le plus proche possible de la
destination.
Les listes d’accès étendues doivent être appliquées le plus proche possible de la
source.
Pour faire référence à une interface d’entrée ou de sortie, placez-vous à l’intérieur
du routeur en regardant l'interface en question.
Les instructions sont traitées dans l’ordre depuis le début de la liste jusqu’à la fin
jusqu’à ce qu’une correspondance soit trouvée. Si aucune correspondance n’est
détectée, le paquet est refusé.
Il existe un refus implicite deny any à la fin de toutes les listes de contrôle d’accès.
Cela n’apparaît pas dans la liste de configuration.
Les entrées de la liste d’accès doivent filtrer les paquets dans l’ordre, du plus
spécifique au plus général. Les hôtes spécifiques doivent être rejetés en premier,
tandis que les groupes ou les filtres généraux viennent en dernier.
La condition de correspondance est examinée en premier. L’acceptation ou le refus
est examiné UNIQUEMENT si la condition est vraie.
Les nouvelles lignes sont toujours ajoutées à la fin de la liste de contrôle d’accès. La
commande no access-list x supprime toute la liste. Il n’est pas possible d’ajouter et Auteur : Abdellatif Hajraoui
de supprimer des lignes spécifiques dans des listes d’accès numérotées.
Une liste d’accès IP envoie un message ICMP d’hôte inaccessible à l’émetteur du
paquet rejeté et élimine le paquet dans la corbeille prévue à cet effet.
Les filtres de sortie ne concernent pas le trafic généré par le routeur local.
4
Vérification des listes de contrôle d’accès :
De nombreuses commandes show permettent de vérifier le contenu et l’emplacement des
listes de contrôle d’accès sur le routeur.
La commande show ip interface affiche les informations relatives à l’interface IP et
indique si des listes de contrôle d’accès sont configurées. La commande show access-lists
(Figure 4) affiche le contenu de toutes les listes de contrôle d’accès sur le routeur. Pour
afficher une liste spécifique, ajoutez le nom ou le numéro de la liste de contrôle d’accès en
tant qu’option de cette commande. La commande show running-config permet également
d’afficher les listes d’accès d’un routeur, ainsi que les informations d’affectation aux
interfaces.
Ces commandes show vérifient le contenu et l’emplacement des listes. Il est également
conseillé de tester les listes d’accès avec des exemples de trafic afin de vérifier leur
logique.
Figure 4
5
Configuration des ACL standard
La syntaxe complète des ACL standard est la suivante:
Router(config)#access-list access-list-number {deny | permit | remark}
source [source-wildcard]
Exemple:
access-list 1 permit 171.69.2.88
La commande ip access-group applique une ACL standard existante à une Auteur : Abdellatif Hajraoui
interface:
Router(config-int)#ip access-group {access-list-number | access-list-name}
{in | out}
6
5. Listes de contrôle d’accès étendues
5.1. Principe des listes d’accès étendues
Les listes d’accès étendues sont utilisées plus souvent que les listes d’accès standard car
elles fournissent une plus grande gamme de contrôle. Les listes d’accès étendues vérifient
les adresses d’origine et de destination du paquet, mais peuvent aussi vérifier les
protocoles et les numéros de port.
Cela donne une plus grande souplesse pour décrire ce que vérifie la liste de contrôle
d’accès. L’accès d’un paquet peut être autorisé ou refusé selon son emplacement
d’origine et sa destination, mais aussi selon son type de protocole et les adresses de ses
ports.
Figure 5
7
Auteur : Abdellatif Hajraoui
Figure 6 : Les numéros de port bien connus pour TCP/IP
La commande ip access-group lie une liste de contrôle d’accès étendue existante à une
interface. N’oubliez pas qu’une seule liste de contrôle d’accès est permise par interface,
par direction et par protocole.
La syntaxe de cette commande est la suivante:
Router(config-if)#ip access-groupnuméro-liste-d’accès {in | out}
Router(config)#int Fa0/0
Affichage de la liste
Router#show access-list
9
Figure 7 :Exemple d’emplacement des ACL
1
0