Created by potrace 1.10, written by Peter Selinger 2001-2011
Finger in the net
Blog d'administration réseau
Created by potrace 1.10, written by Peter Selinger 2001-2011

Les Access-list (ACL) CISCO

Finger In The Net
"Access-list = Liste d'accès ! Imaginez que vous organisez une soirée privée et que vous ne voulez pas donner l'accès à cette soirée à tout le monde ! Vous allez faire quoi ? - Créer une liste d'invitée. - Placer un agent de sécurité devant la porte avec votre liste."

C’est quoi une ACL ?

  • ACL = Access Control List
  • Access-list = Liste d’accès !

Pour mettre en place des ACL, il faut créer une access-list ET l’appliquer quelque part. Imaginez que vous organisez une soirée privée et que vous ne voulez pas donner l’accès à cette soirée à tout le monde ! Vous allez faire quoi ?

  • Créer une liste d’invitées.
  • Placer un agent de sécurité devant la porte avec votre liste.

Vous allez donner la consigne suivante à votre agent de sécurité :

Voici ta liste. Pour l’appliquer, rien de plus simple, tu regardes ligne par ligne !!!

Les Access-list (ACL) CISCO 1

  • Éric DUBOIS en BasketACCEPTÉ.
  • Homme seul en Costard + CravateACCEPTÉ.
  • Femme en BasketREFUSE.
  • L’équipe de Rugby en BasketREFUSÉ.
  • Homme seul en Chaussure de ville ? REFUSÉ.

Dans notre cas c’est exactement pareil ! on va

  • Créer une access-list.
  • Mettre cette access-list en place pour qu’elle puisse être active !

Ce cours va porter trois grands chapitres :

  • Création d’une Acess-list.
  • Ajouter des règles de flux.
  • Mise en place d’une access-list.
Chapitre 1

Création d'une Access-list

Il existe deux grandes familles d’access-list :

  • Standard (Standard) – Filltrage via l’adresse IP Source.
  • Extended (Étendue) – Filltrage via l’IP, le port, le protocole et pleins d’autres choses.

Sachant qu’il est possible de créer plusieurs access-list sur un même équipement, il va nous falloir les identités. Comment ?

  • Soit par des Nombres (Numbered).
  • Soit par des Noms (Named).

Il existe donc 4 types d’access-list :

  • Standard Numbered = Standard numéroté de 1 à 99 et de 1300 à 1999.
  • Extended Numbered = Étendue Numérotée. de 100 à 199 et de 2000 à 2699.
  • Standard Named = Standard Nommée.
  • Extented Named = Étendue nommée.
Différents type d'access-list
Différent type d’access-list

Créer une access-list

Comme nous l’avons vu plus haut, vous avez le choix entre 4 types d’access-list :

Access-list Standard Numbered

R1(config)# access-list <1-99> <1300-1999>
ou
R1(config)# ip access-list standard <1-99> <1300-1999>

A vous de choisir un numéro compris entre 1 à 99 ou de 1300 à 1999.

Access-list Standard Named

R1(config)# ip access-list standard [WORD]

Access-list Extended Numbered

R1(config)# access-list <100-199> <2000-2699>
ou
R1(config)# ip access-list extended <100-199> <2000-2699>

A vous de choisir un numéro compris entre 100 à 199 ou de 2000 à 2699.

Access-list Extended Named

R1(config)# ip access-list extended [WORD]

Quelle est la différence entre access-list et ip access-list ?

La réponse :

  • access-list est l’ancienne méthode.
  • ip access-list est la nouvelle méthode.

La commande access-list :

  • Oblige à spécifier le numéro de l’access-list à chaque fois que l’on rajoute une règle de filtrage.
  • Supporte que les access-list Numbered. (Numérotée).

Exemple :

R1(config)# access-list 1 permit 192.168.1.0 0.0.0.255
R1(config)# access-list 1 permit host 192.168.2.1

La commande ip access-list :

  • Nous fais rentrer dans un sous-menu nous permettant de rajouter directement les règles de filtrage sans rappeler le numéro de l’access-list.
  • Supporte les access-list Numbered (Numérotée) et Named (Nommée).
  • Permet de rajouter des règles de filtrages entre deux lignes après avoir créé une access-list.

Exemple :

R1(config)# ip access-list standard ACL_LINE_VTY
R1(config-std-nacl)# permit 192.168.1.0 0.0.0.255
R1(config-std-nacl)# permit host 192.168.2.1

Conclusion :

  • Privilégiez les access-list Named : Un nom est plus parlant qu’un numéro.
  • Privilégiez les ip access-list : elles sont plus simples à gérer.
Chapitre 2

Les règles de flux d'une access-list

Created by potrace 1.10, written by Peter Selinger 2001-2011
Réservé aux membres
du site
Pour débloquer l'ensemble des cours de la plateforme
Chapitre 3

Configuration d'une access-list standard

Commençons par un petit exemple d’access-list standard :

ip access-list standard LINE_VTY
 remark ***** LAN Admin réseau *****
 permit 10.10.10.0 0.0.0.255
 remark ** Serveur de sauvegarde **
 permit host 10.10.20.1
 permit host 10.10.20.2
 remark *********** LOG ***********
 deny any log

De quoi est composée une règle de flux :

ip access-list standard LINE_VTY
 [Action] [Adresse IP Source]

Action

  • Permit (autorise le flux).
  • Deny (Drop le flux).
  • Remark (mets un commentaire).

Adresse IP

  • any (tout le monde)
  • host X.X.X.X (Adresse IP)
  • X.X.X.X 0.0.0.255 (Adresse réseau)
R1(config)# ip access-list standard LINE_VTY
R1(config-std-nacl)# permit ?
 
 A.B.C.D   Address to match        ! Une adresse réseau 
 any       Any source host         ! Tout le monde
 host      A single host address   ! Une adresse IP

Que se passe-t-il quand vous voulez matcher une adresse réseau ?

R1(config-std-nacl)# permit 192.168.10.0 ?
 
  A.B.C.D  Wildcard bits           ! Mettre le masque réseau en Wildcard

Il faut spécifier le Wildcard mask.

Hop-hop-hop-hop-hop-hop !!!! Wildcard mask ??? C’est quoi ça ?

Wildcard = Masque inversé.

  • Un masque de 255.255.255.0 nous donnera un wildcard de 0.0.0.255.
  • Un masque de 255.255.0.0 nous donnera un wildcard de 0.0.255.255.
  • Un masque de 255.0.0.0 nous donnera un wildcard de 0.255.255.255.

Comment j’ai fait ?

J’ai utilisé la formule suivante : Wildcard = 255 – Masque.

Mais pourquoi les wildcard ? à quoi ca sert ? nous n’aurions pas pu mettre simplement la valeur de notre masque ?

Pour répondre à cette question, je vous invite à jeter un coup d’oeil sur l’article Wildcard. Mais pas pour le moment …. Je vous conseille de bien maîtriser les access-list afin de comprendre la plus-value qu’apportent les Wildcard.

Created by potrace 1.10, written by Peter Selinger 2001-2011
Réservé aux membres
du site
Pour débloquer l'ensemble des cours de la plateforme
Chapitre 4

Configuration d'une access-list étendue

Created by potrace 1.10, written by Peter Selinger 2001-2011
Réservé aux membres
du site
Pour débloquer l'ensemble des cours de la plateforme
Chapitre 5

Configuration d'une access-list réflexive

Created by potrace 1.10, written by Peter Selinger 2001-2011
Réservé aux membres
du site
Pour débloquer l'ensemble des cours de la plateforme
Chapitre 6

Appliquer une ACL

Created by potrace 1.10, written by Peter Selinger 2001-2011
Réservé aux membres
du site
Pour débloquer l'ensemble des cours de la plateforme
Chapitre 7

Conclusion

Created by potrace 1.10, written by Peter Selinger 2001-2011
Réservé aux membres
du site
Pour débloquer l'ensemble des cours de la plateforme
Merci de votre attention

Sur le même thème

Merci de votre soutien et de votre fidélité ! Ce site existe grâce à vous et je ne vous remercierais jamais assez !

Noël NICOLAS

Expert Réseau
11 ans d’expérience
CCNP Routing and Switching
Fondateur du site FingerInTheNet

Created by potrace 1.10, written by Peter Selinger 2001-2011

Débloque l'intégralité des cours !

Abonnement