ACL: Acces Control List

COMPREHENSIVE
 XP

Définition

ACL 2
 INTRODUCTION XP

• Qu'appelle t’on ACL?

• Une liste de contrôle d'accès (ou ACL) est une
série de commandes IOS qui déterminent si un
routeur achemine ou abandonne les paquets en
fonction des informations contenues dans l'en-
tête de paquet.

ACL 3
 INTRODUCTION XP

• Le filtrage des paquets, parfois appelé filtrage

statique des paquets, contrôle l'accès à un
réseau en analysant les paquets entrants et
sortants et en les transmettant ou en rejetant
selon des critères spécifiques, tels que l'adresse
IP source, les adresses IP de destination et le
protocole transporté dans le paquet.

ACL 4
 INTRODUCTION XP

• Une liste de contrôle d'accès est un ensemble

séquentiel d'instructions d'autorisation ou de
refus, appelées entrées de contrôle d'accès
(ACE). Les ACE sont couramment appelées des
instructions de liste de contrôle d'accès.

ACL 5
 Introduction XP

• Les listes de contrôle d'accès sont configurées

pour s'appliquer au trafic entrant ou sortant,
comme le montre la figure.

ACL 6
 XP

• Listes de contrôle d'accès entrantes : les paquets

entrants sont traités avant d'être routés vers
l'interface de sortie. Une liste de contrôle d'accès
entrante est efficace car elle réduit la charge des
recherches de routage en cas d'abandon du paquet.
Si le paquet est autorisé à l'issue des tests, il est
soumis au routage. Les listes de contrôle d'accès
entrantes sont idéales pour filtrer les paquets
lorsque le réseau relié à une interface d'entrée est la
seule source des paquets devant être inspectés.

ACL 7
 XP

• Listes de contrôle d'accès sortantes : les paquets

entrants sont acheminés vers l'interface de
sortie, puis traités par le biais de la liste de
contrôle d'accès sortante. Les listes de contrôle
d'accès sortantes sont particulièrement efficaces
lorsqu'un même filtre est appliqué aux paquets
provenant de plusieurs interfaces d'entrée avant
de quitter la même interface de sortie.

ACL 8
 ACL XP

• Remarque: La dernière instruction d'une liste de

contrôle d'accès est toujours une instruction
implicit deny. Cette instruction est
automatiquement ajoutée à la fin de chaque liste
de contrôle d'accès, même si elle n'est pas
physiquement présente. L'instruction implicit
deny bloque l'ensemble du trafic. En raison de ce
refus implicite, une liste de contrôle d'accès qui
n'a pas au moins une instruction d'autorisation
bloquera tout le trafic.
ACL 9
Directives concernant la création des XP
listes de contrôle d'accès
• Utilisez des listes de contrôle d'accès sur les
routeurs pare-feu entre votre réseau interne et
un réseau externe, par exemple Internet.
• Utilisez des listes de contrôle d'accès sur un
routeur situé entre deux sections de votre
réseau pour contrôler le trafic entrant ou sortant
sur une partie donnée du réseau interne.

ACL 10
Directives concernant la création des XP
listes de contrôle d'accès
• Configurez des listes de contrôle d'accès sur les
routeurs périphériques situés à la périphérie de
vos réseaux. Cela permet de fournir une
protection de base contre le réseau externe ou
entre une zone plus sensible et une zone moins
contrôlée de votre réseau.
• Configurez des listes de contrôle d'accès pour
tout protocole réseau configuré sur les interfaces
de routeur périphérique.

ACL 11
Directives concernant la création des XP
listes de contrôle d'accès
• Règle des trois P
• Pour retenir la règle générale d'application des
listes de contrôle d'accès, il suffit de se souvenir
des trois P:
• Une liste de contrôle d'accès par protocole (p. ex., IPv4 ou
IPv6)
• Une liste de contrôle d'accès par direction (les listes de
contrôle d'accès contrôlent le trafic dans une seule direction
à la fois sur une interface) (c.-à-d., entrant ou sortant)
• Une liste de contrôle d'accès par interface (p. ex.,
FastEthernet0/0)

ACL 12
Directives concernant la création des XP
listes de contrôle d'accès

ACL 13
Directives concernant la création des XP
listes de contrôle d'accès
• Remarque:
• Pour les listes de contrôle d'accès sortantes, les
paquets entrants sont traités après être
acheminés vers l'interface de sortie
• Pour les listes de contrôle d'accès entrantes, les
paquets entrants sont traités avant d'être
acheminés vers l'interface de sortie

ACL 14
Positionnement des listes de contrôle XP
d'accès
• Remarque : pour la certification CCNA, la règle
générale est de placer les listes de contrôle
d'accès étendues aussi près que possible de la
source et les listes de contrôle d'accès standard
aussi près que possible de la destination.
• Plus d’explication deux diapo suivants

ACL 15
Positionnement des listes de contrôle XP
d'accès
• Chaque liste de contrôle d'accès doit être placée là
où elle aura le plus grand impact sur les
performances. Comme le montre la figure, les règles
de base sont les suivantes :
• Listes de contrôle d'accès étendues : placez les
listes de contrôle d'accès étendues le plus près
possible de la source du trafic à filtrer. De cette
manière, le trafic indésirable est refusé près du
réseau source et ne traverse pas l'infrastructure
réseau. Cela empêche le trafic indésirable d'être
envoyé sur plusieurs réseaux pour être finalement
refusé lorsqu'il atteint sa destination.

ACL 16
Positionnement des listes de contrôle XP
d'accès
• Listes de contrôle d'accès standard : étant
donné que les listes de contrôle d'accès standard
ne précisent pas les adresses de destination,
placez-les le plus près possible de la destination.
Le fait de placer une liste de contrôle d'accès
standard à la source du trafic empêche
efficacement ce trafic d'accéder à tous les autres
réseaux via l'interface à laquelle la liste est
appliquée.

ACL 17
 XP

• Pour utiliser des listes de contrôle d'accès

standard numérotées sur un routeur Cisco, vous
devez d'abord
– créer la liste de contrôle d'accès standard,
– puis l'activer sur une interface.

ACL 18
Listes de contrôle d'accès IPv4 XP
standard
• La syntaxe complète de la commande des listes
de contrôle d'accès standard est la suivante :
• Router(config)# access-list access-list-
number { deny |
permit | remark } source [source-wildcard ][ log ]

ACL 19
 XP

ACL 20
 XP

• Le mot-clé remark est utilisé à des fins de

documentation et rend les listes de contrôle
d'accès bien plus simples à comprendre. Chaque
remarque comporte 100 caractères au
maximum.

ACL 21
 XP

ACL 22
 XP

ACL 23
 XP

• Une fois qu'une liste de contrôle d'accès

standard est configurée, elle est associée à une
interface à l'aide de la commande ip access-
group en mode de configuration d'interface :
• Router(config-if)# ip access-group { access-list-
number |access-list-name } { in | out }

ACL 24
 XP

• Pour supprimer une liste de contrôle d'accès IP

d'une interface, entrez d'abord la commande no
ip access-group sur l'interface, puis la
commande globale no access-list pour supprimer
l'ensemble de la liste.

ACL 25
 XP

ACL 26
 XP

ACL 27
 XP

 no sequence number

ACL 28
Vérification des interfaces de Liste de XP
contrôle d'accès IPv4 standard
• show ip interface s0/0/0
•  show access-lists
•  show access-lists numéro-liste

ACL 29
Sécurisation des ports VTY à l'aide d'une liste de
XP
contrôle d'accès IPv4 standard
• Vous devez prendre en compte les éléments suivants
lors de la configuration de listes de contrôle d'accès sur
des lignes VTY :
• Seules des listes de contrôle d'accès numérotées
peuvent être appliquées aux lignes VTY.
• Vous devez définir les mêmes restrictions sur toutes les
lignes VTY car un utilisateur peut tenter de se connecter
à n'importe laquelle.

ACL 30
 XP

ACL 31
 XP

ACL 32
Remarque: XP

• Attention:
• deny tcp any eq telnet any: refuse tous les
paquets source dont le numéro de port source
correspond à Telnet.
• deny tcp any any eq telnet : refuse tous les
paquets dont le numéro de port destination
correspond à Telnet.

ACL 33
ACL IPv6 XP

ACL 34
Comparaison et différence XP

• ipv6 traffic-filter ===  ip access-group

• Aucun masque générique:Au lieu de cela, la
longueur de préfixe est utilisée pour indiquer
dans quelle mesure l'adresse IPv6 source ou de
destination doit correspondre
•  deny ipv6 any any == deny ip any any
• == deny any any

ACL 35
Remarque XP

• deux autres instructions implicites sont appliquées

par défaut :
• permit icmp any any nd-na
• permit icmp any any nd-ns
• Ces deux instructions permettent au routeur de
prendre part à l'équivalent IPv6 du protocole ARP
pour IPv4.
• Plus précisément, les messages nd-na (découverte
de voisin-annonce de voisin) et nd-ns (découverte
de voisin-sollicitation de voisin) sont autorisés.

ACL 36
 XP

ACL 37
 XP

ACL 38