SlideShare une entreprise Scribd logo
1  sur  14
Télécharger pour lire hors ligne
El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications
ACL
(Access Control List)
Introduction
Une liste de contrôle d'accès est un ensemble séquentiel d'instructions d'autorisation ou de refus qui
s'appliquent aux adresses ou aux protocoles de couche supérieure. Les listes de contrôle d'accès
représentent un outil puissant pour contrôler le trafic entrant ou sortant d'un réseau. Des listes de
contrôle d'accès peuvent être configurées pour tous les protocoles réseau routés.
I) Objectif des listes de contrôle d'accès
Qu'est-ce qu'une liste de contrôle d'accès ?
Une liste de contrôle d'accès (ou ACL) est une série de commandes IOS qui déterminent si un
routeur achemine ou abandonne les paquets en fonction des informations contenues dans l'en-tête de
paquet. Les listes de contrôle d'accès font partie des fonctionnalités les plus utilisées du logiciel
Cisco IOS.
Une fois configurées, les listes de contrôle d'accès assurent les tâches suivantes
• Elles limitent le trafic réseau pour accroître les performances réseau. Ainsi, la charge réseau
est nettement réduite et les performances réseau sont sensiblement améliorées.
• Elles contrôlent le flux de trafic. Les listes de contrôle d'accès peuvent limiter l'arrivée des
mises à jour de routage.
• Elles fournissent un niveau de sécurité de base pour l'accès réseau.
• Elles filtrent le trafic en fonction de son type.
• Elles filtrent les hôtes pour autoriser ou refuser l'accès aux services sur le réseau.
Filtrage des paquets
Le filtrage des paquets, parfois appelé filtrage statique des paquets, contrôle l'accès à un réseau en
analysant les paquets entrants et sortants et en les transmettant ou en rejetant selon des critères
spécifiques, tels que l'adresse IP source, les adresses IP de destination et le protocole transporté dans
le paquet.
ACL (Access Control List) Page 1
El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications
• Un routeur filtre les paquets lors de leur transmission ou de leur refus conformément aux
règles de filtrage.
• Un routeur de filtrage de paquets utilise des règles pour déterminer s'il doit autoriser ou
refuser le trafic. Un routeur peut également effectuer le filtrage des paquets au niveau de la
couche 4, la couche transport.
Une liste de contrôle d'accès est un ensemble séquentiel d'instructions d'autorisation ou de refus,
appelées entrées de contrôle d'accès (ACE). Les ACE sont couramment appelées des instructions de
liste de contrôle d'accès. Des ACE peuvent être créés pour filtrer le trafic en fonction de critères tels
que l'adresse source, l'adresse de destination, le protocole et les numéros de port.
Exemple de filtrage des paquets
Pour comprendre comment un routeur utilise le filtrage des paquets, imaginez qu'un gardien a été
placé devant une porte verrouillée. Le gardien a reçu pour instruction de ne laisser passer que les
personnes dont les noms figurent sur une liste. Il filtre le passage des personnes conformément à la
liste des noms autorisés. Les listes de contrôle d'accès fonctionnent de la même façon et prennent
des décisions en fonction de critères définis.
Par exemple, une liste de contrôle d'accès peut être configurée pour « autoriser l'accès Web aux
utilisateurs du réseau A, mais leur refuser l'accès à tous les autres services. Refuser l'accès HTTP
aux utilisateurs du réseau B, mais leur autoriser tous les autres accès. »
ACL (Access Control List) Page 2
El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications
Fonctionnement des listes de contrôle d'accès
Les listes de contrôle d'accès définissent des règles de contrôle pour les paquets arrivant par les
interfaces d'entrée, passant par le routeur et atteignant leur destination par les interfaces de sortie.
Les listes de contrôle d'accès sont configurées pour s'appliquer au trafic entrant ou sortant comme le
montre la figure ci-dessous.
II) Les Types des ACLs
Il existe deux types de listes de contrôle d'accès IPv4 Cisco : les listes standard et les listes
étendues.
Remarque : les listes de contrôle d'accès IPv6 Cisco sont similaires aux listes de contrôle d'accès
étendues Ipv4.
Listes de contrôle d'accès standard
Les listes de contrôle d'accès standard peuvent être utilisées pour autoriser ou refuser le trafic
uniquement depuis des adresses IPv4 source. La destination du paquet et les ports concernés ne
sont pas évalués
Listes de contrôle d'accès étendues
Les listes de contrôle d'accès étendues filtrent les paquets IPv4 en fonction de différents critères :
•Type de protocole
•Adresse IPv4 source
•Adresse IPv4 de destination
•Ports TCP ou UDP source
•Ports TCP ou UDP de destination
•Informations facultatives sur le type de protocole pour un contrôle plus précis
ACL (Access Control List) Page 3
El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications
Numérotation et attribution d'un nom aux listes de contrôle d'accès
Les listes de contrôle d'accès standard et étendues et leur liste d'instructions peuvent être identifiées
par un numéro ou par un nom.
Directives concernant la création des listes de contrôle d'accès
L'écriture des listes de contrôle d'accès peut être une tâche complexe. Pour chaque interface,
plusieurs stratégies peuvent être nécessaires pour gérer le type de trafic autorisé à entrer dans cette
interface ou en sortir.
Pour retenir la règle générale d'application des listes de contrôle d'accès, il suffit de se souvenir des
trois P. Vous pouvez configurer une liste de contrôle d'accès par protocole, par direction et par
interface :
•Une liste de contrôle d'accès par protocole : pour contrôler le flux du trafic sur une
interface, définissez une liste de contrôle d'accès pour chaque protocole activé sur l'interface.
•Une liste de contrôle d'accès par direction : les listes de contrôle d'accès contrôlent le
trafic dans une seule direction à la fois sur une interface. Vous devez créer deux listes de
contrôle d'accès ; la première pour contrôler le trafic entrant et la seconde pour contrôler le
trafic sortant.
•Une liste de contrôle d'accès par interface : les listes de contrôle d'accès contrôlent le
trafic dans une seule interface, par exemple, Gigabit Ethernet 0/0.
ACL (Access Control List) Page 4
El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications
Positionnement des listes de contrôle d'accès
Le positionnement approprié d'une liste de contrôle d'accès peut optimiser l'efficacité du réseau.
Une liste de contrôle d'accès peut être placée de sorte à réduire le trafic superflu. Chaque liste de
contrôle d'accès doit être placée là où elle aura le plus grand impact sur les performances.
Listes de contrôle d'accès étendues : placez les listes de contrôle d'accès étendues le plus près
possible de la source du trafic à filtrer.
Listes de contrôle d'accès standard : étant donné que les listes de contrôle d'accès standard ne
précisent pas les adresses de destination, placez-les le plus près possible de la destination.
III) ACL Standard
Configuration d'une liste de contrôle d'accès standard
Pour utiliser des listes de contrôle d'accès standard numérotées sur un routeur Cisco, vous devez
d'abord créer la liste de contrôle d'accès standard, puis l'activer sur une interface.
• La commande de configuration globale access-list définit une liste de contrôle d'accès
standard associée à un numéro compris entre 1 et 99.
• La version 12.0.1 du logiciel Cisco IOS a élargi cette plage de numéros et permet d'attribuer
les numéros 1 300 à 1 999 aux listes de contrôle d'accès standard.
• La syntaxe complète de la commande des listes de contrôle d'accès standard est la suivante :
Router(config)# access-listaccess-list-number { deny |permit | remark } source [source-wildcard ]
[ log ]
Pour mieux comprendre l’intérêt de chaque commande de l'ACL standard, le tableau ci-dessous
donne une explication suffisante pour comprendre chaque partie de la syntaxe d'ACL standard.
ACL (Access Control List) Page 5
El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications
Exemple 1 ACL STANDARD :
Exemple 2 ACL STANDARD :
Application de listes de contrôle d'accès standard aux interfaces
Une fois qu'une liste de contrôle d'accès standard est configurée, elle est associée à une interface à
l'aide de la commande ip access-group en mode de configuration d'interface:
Router(config-if)# ip access-group { access-list-number |access-list-name } { in | out }
ACL (Access Control List) Page 6
El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications
Pour supprimer une liste de contrôle d'accès IP d'une interface, entrez d'abord la commande no ip
access-group sur l'interface, puis la commande globale no access-list pour supprimer l'ensemble de
la liste.
Création de listes de contrôle d'accès standard nommées
Si vous attribuez un nom à une liste de contrôle d'accès, il vous sera plus facile d'en comprendre la
fonction. Par exemple, vous pouvez nommer NO_FTP une liste de contrôle d'accès refusant le trafic
FTP.
Étape 1. À partir du mode de configuration globale, utilisez la commande ip access-list pour créer
une liste de contrôle d'accès nommée.
Étape 2. En mode de configuration des listes de contrôle d'accès nommées, utilisez les
instructions permit (autoriser) ou deny (refuser) pour spécifier une ou plusieurs conditions
déterminant si un paquet est transféré ou abandonné.
Étape 3. Appliquez la liste de contrôle d'accès à une interface à l'aide de la commande ip access-
group. Indiquez si la liste de contrôle d'accès doit être appliquée aux paquets lorsqu'ils entrent dans
l'interface (in) ou lorsqu'ils quittent l'interface (out).
Commentaires sur les listes de contrôle d'accès
Vous pouvez utiliser le mot-clé remark pour intégrer des commentaires (remarques) sur les entrées
dans n'importe quelle liste de contrôle d'accès IP standard ou étendue. Ces remarques facilitent la
compréhension et la recherche des listes de contrôle d'accès. Chaque ligne de remarque est limitée à
100 caractères.
ACL (Access Control List) Page 7
El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications
ACL (Access Control List) Page 8
El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications
IV) ACL étendue
Des listes de contrôle d'accès IPv4 étendues peuvent être créées pour permettre un contrôle plus
précis du filtrage du trafic. Les listes de contrôle d'accès étendues sont numérotées de 100 à 199 et
de 2 000 à 2 699 ce qui offre un total de 799 numéros de listes de contrôle d'accès étendues
disponibles. Vous pouvez également attribuer un nom aux listes de contrôle d'accès étendues.
Avec les listes des contrôles d'accèes étendues vous aurez la possibilité de filtrer en fonction des
protocoles et des numéros de port permet aux administrateurs réseau de créer des listes de contrôle
d'accès étendues très précises. Une application peut être spécifiée soit par le numéro de port soit par
le nom d'un port réservé.
Configuration d'une liste de contrôle étendue
Les procédures de configuration des listes de contrôle d'accès étendues sont les mêmes que pour les
listes de contrôle d'accès standard. La liste de contrôle d'accès étendue est d'abord configurée, puis
elle est activée sur une interface. La syntaxe et les paramètres de commande sont plus complexes
car ils prennent en charge des fonctions supplémentaires fournies par les listes de contrôle d'accès
étendues.
La Figure ci-dessous illustre la syntaxe de commande courante pour les listes de contrôle d'accès
étendues IPv4. Notez qu'il existe de nombreux mots-clés et paramètres pour les listes de contrôle
d'accès étendues. Il n'est pas nécessaire de tous les utiliser lors de la configuration d'une liste de
contrôle d'accès étendue.
ACL (Access Control List) Page 9
El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications
Création de listes de contrôle d'accès étendues nommées
ACL étendues nommées est similaire à la création des listes de contrôle d'accès standard nommées.
Procédez comme suit pour créer une liste de contrôle d'accès étendue identifiée par un nom :
Étape 1. En mode de configuration globale, utilisez la commande ip access-list
extended name pour définir le nom de la liste de contrôle d'accès étendue.
Étape 2. En mode de configuration de la liste de contrôle d'accès nommée, spécifiez les
conditions permit ou deny.
Étape 3. Repassez en mode d'exécution privilégié et vérifiez la liste à l'aide de la commande show
access-lists name.
ACL (Access Control List) Page 10
El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications
Exemple ACL nommées :
Pour supprimer une liste de contrôle d'accès étendue nommée, utilisez la commande de
configuration globale no ip access-list extended name.
Modification des listes de contrôle d'accès étendues
Une liste de contrôle d'accès étendue peut être modifiée comme suit :
•1re méthode, l'éditeur de texte : cette méthode consiste à copier la liste de contrôle d'accès
et à la coller dans l'éditeur de texte pour la modifier. Il faut ensuite supprimer la liste d'accès
actuelle à l'aide de la commande no access-list. Une fois modifiée, elle est à nouveau collée
dans la configuration.
•2e méthode, les numéros d'ordre : les numéros d'ordre permettent de supprimer ou
d'insérer une instruction de liste de contrôle d'accès. Exécutez la commande ip access-list
extended name pour passer en mode de configuration de liste de contrôle d'accès nommée.
Si la liste d'accès est numérotée plutôt que nommée.
Rejoignez-nous dans notre groupe sur Facebook
[ https://www.facebook.com/groups/RESEAUX2INFORMATIQUES2TELECOM/ ]
ACL (Access Control List) Page 11
El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications
ACL IPv6
(Access Control List)
Introduction
Les listes de contrôle d'accès IPv6 sont très semblables aux listes de contrôle d'accès IPv4, tant dans
leur fonctionnement que dans leur configuration. Si vous connaissez déjà les listes d'accès IPv4,
vous n'aurez aucun mal à comprendre et à utiliser les listes IPv6.
Il existe deux types de listes de contrôle d'accès IPv4, les listes de contrôle d'accès standard et
étendues. Ces deux types de liste peuvent être numérotés ou nommés.
En revanche, il n'existe qu'un seul type de liste de contrôle d'accès IPv6 et il correspond à une liste
de contrôle d'accès étendue IPv4 nommée. Les listes de contrôle d'accès IPv6 numérotées n'existent
pas.
Comparaison des listes de contrôle d'accès IPv4 et Ipv6
Bien que les adresses IPv4 et IPv6 liste sont très similaires, il existe trois différences entre eux.
Application d'une liste de contrôle d'accès Ipv6: IPv6 utilise la commande ipv6 traffic-
filter pour effectuer la même tâche sur les interfaces IPv6.
Aucun masque générique : les listes de contrôle d'accès IPv6 n'utilisent pas de masques
génériques
Instructions supplémentaires par défaut : la dernière différence majeure concerne l'ajout de deux
instructions d'autorisation implicites à la fin de chaque liste de contrôle d'accès IPv6
ACL (Access Control List) Page 1
El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications
Configuration des listes de contrôle d'accès IPv6
Il existe uniquement des listes de contrôle d'accès IPv6 nommées. Leur configuration est similaire à
celle d'une liste de contrôle d'accès étendue IPv4 nommée.
Il existe trois étapes de base pour configurer une liste de contrôle d'accès IPv6 :
Étape 1. En mode de configuration globale, utilisez la commande name ipv6 access-list pour créer
une liste de contrôle d'accès IPv6.
Remarque : les noms des listes de contrôle d'accès IPv6 sont alphanumériques, sensibles à la casse
et doivent être uniques.
Étape 2. En mode de configuration des listes de contrôle d'accès nommées, utilisez les
instructions permit ou deny pour spécifier une ou plusieurs conditions pour déterminer si un paquet
est transféré ou abandonné.
La figure ci-dessous illustre la syntaxe de commande pour les listes de contrôle d'accès IPv6.
Exemple de la configuration ACL IPv6
La Figure ci-dessus présente la procédure à suivre pour créer une liste de contrôle d'accès IPv6 à
l'aide d'un exemple simple basé sur la topologie précédente. La première instruction nomme la liste
ACL (Access Control List) Page 2
El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications
d'accès IPv6 NO-R3-LAN-ACCESS. Comme dans le cas d'IPv4, vous n'êtes pas obligé d'écrire les
noms des listes de contrôle d'accès en majuscule, mais cela permet de les repérer plus facilement
dans le résultat de la commande running-config.
Application d'une liste de contrôle d'accès IPv6 à une interface
Une fois que la liste de contrôle d'accès IPv6 est configurée, elle est associée à une interface à l'aide
de la commande ipv6 traffic-filter :
Router(config-if)# ipv6 traffic-filter access-list-name { in |out }
Pour supprimer une liste de contrôle d'accès d'une interface, saisissez d'abord la commande no ipv6
traffic-filter sur l'interface, puis la commande globale no ipv6 access-list.
Remarque : la commande access-classest utilisée à la fois par IPv4 et IPv6 pour appliquer une liste
d'accès aux ports VTY.
Vérification des listes de contrôle d'accès IPv6
Les commandes utilisées pour vérifier une liste d'accès IPv6 sont similaires à celles utilisées pour
les listes de contrôle d'accès IPv4.
la commandeshow access-lists affiche toutes les listes de contrôle d'accès sur le routeur (IPv4 et
IPv6). Notez que pour les listes de contrôle d'accès IPv6, les numéros d'ordre figurent à la fin de
l'instruction et non au début comme pour les listes d'accès IPv4.
Exemple de vérification de contrôle d'accès IPv6
Rejoignez-nous dans notre groupe sur Facebook
[ https://www.facebook.com/groups/RESEAUX2INFORMATIQUES2TELECOM/ ]
ACL (Access Control List) Page 3

Contenu connexe

Tendances

Equipements d'interconnexion
Equipements d'interconnexionEquipements d'interconnexion
Equipements d'interconnexionInes Kechiche
 
Tendances et évolution des réseaux Wireless LAN
Tendances et évolution des réseaux Wireless LANTendances et évolution des réseaux Wireless LAN
Tendances et évolution des réseaux Wireless LANAymen Bouzid
 
Les commandes CISCO (routeur)
Les commandes CISCO (routeur)Les commandes CISCO (routeur)
Les commandes CISCO (routeur)EL AMRI El Hassan
 
1254851542chap1 interconnexion routage
1254851542chap1 interconnexion routage1254851542chap1 interconnexion routage
1254851542chap1 interconnexion routageSimo Qb
 
Methodes d'accès dans les réseaux locaux
Methodes d'accès dans les réseaux locauxMethodes d'accès dans les réseaux locaux
Methodes d'accès dans les réseaux locauxInes Kechiche
 
Concepts et configuration de base de la commutation
Concepts et configuration de base de la commutationConcepts et configuration de base de la commutation
Concepts et configuration de base de la commutationEL AMRI El Hassan
 
Corrigé cisco wissamben
Corrigé cisco wissambenCorrigé cisco wissamben
Corrigé cisco wissambenWissam Bencold
 
C6 Réseaux : Introduction au routage
C6 Réseaux : Introduction au routageC6 Réseaux : Introduction au routage
C6 Réseaux : Introduction au routagePRONETIS
 

Tendances (20)

Protocole rip
Protocole ripProtocole rip
Protocole rip
 
Routage
RoutageRoutage
Routage
 
Protocole OSPF
Protocole OSPFProtocole OSPF
Protocole OSPF
 
Commutation
CommutationCommutation
Commutation
 
Equipements d'interconnexion
Equipements d'interconnexionEquipements d'interconnexion
Equipements d'interconnexion
 
Tendances et évolution des réseaux Wireless LAN
Tendances et évolution des réseaux Wireless LANTendances et évolution des réseaux Wireless LAN
Tendances et évolution des réseaux Wireless LAN
 
Les commandes CISCO (routeur)
Les commandes CISCO (routeur)Les commandes CISCO (routeur)
Les commandes CISCO (routeur)
 
1254851542chap1 interconnexion routage
1254851542chap1 interconnexion routage1254851542chap1 interconnexion routage
1254851542chap1 interconnexion routage
 
Methodes d'accès dans les réseaux locaux
Methodes d'accès dans les réseaux locauxMethodes d'accès dans les réseaux locaux
Methodes d'accès dans les réseaux locaux
 
Vlan.pdf
Vlan.pdfVlan.pdf
Vlan.pdf
 
Cours SNMP
Cours SNMPCours SNMP
Cours SNMP
 
Chapitre1
Chapitre1Chapitre1
Chapitre1
 
Cisco ASA
Cisco ASACisco ASA
Cisco ASA
 
Virtuals LAN
Virtuals LANVirtuals LAN
Virtuals LAN
 
IPv6 Les Bases
IPv6 Les BasesIPv6 Les Bases
IPv6 Les Bases
 
Concepts et configuration de base de la commutation
Concepts et configuration de base de la commutationConcepts et configuration de base de la commutation
Concepts et configuration de base de la commutation
 
Tp voip
Tp voipTp voip
Tp voip
 
Corrigé cisco wissamben
Corrigé cisco wissambenCorrigé cisco wissamben
Corrigé cisco wissamben
 
IPv6
IPv6IPv6
IPv6
 
C6 Réseaux : Introduction au routage
C6 Réseaux : Introduction au routageC6 Réseaux : Introduction au routage
C6 Réseaux : Introduction au routage
 

Similaire à Cours ACL IPv4 et IPv6

Cisco les acl_cours
Cisco les acl_coursCisco les acl_cours
Cisco les acl_coursTutu Mike
 
Administration reseau
Administration reseauAdministration reseau
Administration reseaunadimoc
 
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxCours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxgorguindiaye
 
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxCours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxgorguindiaye
 
Cours SSI - Copie.pptx
Cours SSI - Copie.pptxCours SSI - Copie.pptx
Cours SSI - Copie.pptxgorguindiaye
 
Cours SSI - Copie.pptx
Cours SSI - Copie.pptxCours SSI - Copie.pptx
Cours SSI - Copie.pptxgorguindiaye
 
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxCours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxgorguindiaye
 
Cisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracerCisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracerMed Ali Bhs
 
Acl maintenance
Acl maintenanceAcl maintenance
Acl maintenanceNerdDev
 
firewall firewall firewall firewall .pptx
firewall firewall firewall firewall .pptxfirewall firewall firewall firewall .pptx
firewall firewall firewall firewall .pptxAbdellahELMAMOUN
 

Similaire à Cours ACL IPv4 et IPv6 (18)

Cisco les acl_cours
Cisco les acl_coursCisco les acl_cours
Cisco les acl_cours
 
Acl
AclAcl
Acl
 
Cmsbe f04 acl
Cmsbe f04 aclCmsbe f04 acl
Cmsbe f04 acl
 
Cours acl
Cours aclCours acl
Cours acl
 
Rapport projet
Rapport projetRapport projet
Rapport projet
 
Administration reseau
Administration reseauAdministration reseau
Administration reseau
 
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxCours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptx
 
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxCours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptx
 
Cours SSI - Copie.pptx
Cours SSI - Copie.pptxCours SSI - Copie.pptx
Cours SSI - Copie.pptx
 
Cours SSI - Copie.pptx
Cours SSI - Copie.pptxCours SSI - Copie.pptx
Cours SSI - Copie.pptx
 
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxCours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptx
 
1485606887426.pdf
1485606887426.pdf1485606887426.pdf
1485606887426.pdf
 
Cisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracerCisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracer
 
Switching
SwitchingSwitching
Switching
 
Acl maintenance
Acl maintenanceAcl maintenance
Acl maintenance
 
Cours syslog
Cours syslogCours syslog
Cours syslog
 
13
1313
13
 
firewall firewall firewall firewall .pptx
firewall firewall firewall firewall .pptxfirewall firewall firewall firewall .pptx
firewall firewall firewall firewall .pptx
 

Plus de EL AMRI El Hassan

Plus de EL AMRI El Hassan (16)

Cours VTP
Cours VTPCours VTP
Cours VTP
 
Cours Vlan
Cours VlanCours Vlan
Cours Vlan
 
Cours les technologies WAN
Cours les technologies WANCours les technologies WAN
Cours les technologies WAN
 
Réseaux locaux sans fil wlan
Réseaux locaux sans fil  wlanRéseaux locaux sans fil  wlan
Réseaux locaux sans fil wlan
 
Redondance de routeur (hsrp, vrrp, glbp)
Redondance de routeur (hsrp, vrrp, glbp)Redondance de routeur (hsrp, vrrp, glbp)
Redondance de routeur (hsrp, vrrp, glbp)
 
cours ospf
cours ospf cours ospf
cours ospf
 
cours NAT (traduction d'adresse réseau)
cours NAT (traduction d'adresse réseau)cours NAT (traduction d'adresse réseau)
cours NAT (traduction d'adresse réseau)
 
Le protocole stp
Le protocole stpLe protocole stp
Le protocole stp
 
Cours etherchannel
Cours etherchannelCours etherchannel
Cours etherchannel
 
cours DHCP IPv4 et IPv6
cours DHCP IPv4 et IPv6cours DHCP IPv4 et IPv6
cours DHCP IPv4 et IPv6
 
Cours routage dynamique (ri pv1,ripv2,ripng)
Cours routage dynamique (ri pv1,ripv2,ripng) Cours routage dynamique (ri pv1,ripv2,ripng)
Cours routage dynamique (ri pv1,ripv2,ripng)
 
Cours frame relay
Cours frame relayCours frame relay
Cours frame relay
 
Résumé ccna 1chapitre 1 v5.0
Résumé ccna 1chapitre 1 v5.0Résumé ccna 1chapitre 1 v5.0
Résumé ccna 1chapitre 1 v5.0
 
lettre commercial
lettre commercial lettre commercial
lettre commercial
 
Fonction commercial d’entreprise
Fonction commercial d’entrepriseFonction commercial d’entreprise
Fonction commercial d’entreprise
 
Maintenance du système Linux
Maintenance du système LinuxMaintenance du système Linux
Maintenance du système Linux
 

Cours ACL IPv4 et IPv6

  • 1. El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications ACL (Access Control List) Introduction Une liste de contrôle d'accès est un ensemble séquentiel d'instructions d'autorisation ou de refus qui s'appliquent aux adresses ou aux protocoles de couche supérieure. Les listes de contrôle d'accès représentent un outil puissant pour contrôler le trafic entrant ou sortant d'un réseau. Des listes de contrôle d'accès peuvent être configurées pour tous les protocoles réseau routés. I) Objectif des listes de contrôle d'accès Qu'est-ce qu'une liste de contrôle d'accès ? Une liste de contrôle d'accès (ou ACL) est une série de commandes IOS qui déterminent si un routeur achemine ou abandonne les paquets en fonction des informations contenues dans l'en-tête de paquet. Les listes de contrôle d'accès font partie des fonctionnalités les plus utilisées du logiciel Cisco IOS. Une fois configurées, les listes de contrôle d'accès assurent les tâches suivantes • Elles limitent le trafic réseau pour accroître les performances réseau. Ainsi, la charge réseau est nettement réduite et les performances réseau sont sensiblement améliorées. • Elles contrôlent le flux de trafic. Les listes de contrôle d'accès peuvent limiter l'arrivée des mises à jour de routage. • Elles fournissent un niveau de sécurité de base pour l'accès réseau. • Elles filtrent le trafic en fonction de son type. • Elles filtrent les hôtes pour autoriser ou refuser l'accès aux services sur le réseau. Filtrage des paquets Le filtrage des paquets, parfois appelé filtrage statique des paquets, contrôle l'accès à un réseau en analysant les paquets entrants et sortants et en les transmettant ou en rejetant selon des critères spécifiques, tels que l'adresse IP source, les adresses IP de destination et le protocole transporté dans le paquet. ACL (Access Control List) Page 1
  • 2. El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications • Un routeur filtre les paquets lors de leur transmission ou de leur refus conformément aux règles de filtrage. • Un routeur de filtrage de paquets utilise des règles pour déterminer s'il doit autoriser ou refuser le trafic. Un routeur peut également effectuer le filtrage des paquets au niveau de la couche 4, la couche transport. Une liste de contrôle d'accès est un ensemble séquentiel d'instructions d'autorisation ou de refus, appelées entrées de contrôle d'accès (ACE). Les ACE sont couramment appelées des instructions de liste de contrôle d'accès. Des ACE peuvent être créés pour filtrer le trafic en fonction de critères tels que l'adresse source, l'adresse de destination, le protocole et les numéros de port. Exemple de filtrage des paquets Pour comprendre comment un routeur utilise le filtrage des paquets, imaginez qu'un gardien a été placé devant une porte verrouillée. Le gardien a reçu pour instruction de ne laisser passer que les personnes dont les noms figurent sur une liste. Il filtre le passage des personnes conformément à la liste des noms autorisés. Les listes de contrôle d'accès fonctionnent de la même façon et prennent des décisions en fonction de critères définis. Par exemple, une liste de contrôle d'accès peut être configurée pour « autoriser l'accès Web aux utilisateurs du réseau A, mais leur refuser l'accès à tous les autres services. Refuser l'accès HTTP aux utilisateurs du réseau B, mais leur autoriser tous les autres accès. » ACL (Access Control List) Page 2
  • 3. El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications Fonctionnement des listes de contrôle d'accès Les listes de contrôle d'accès définissent des règles de contrôle pour les paquets arrivant par les interfaces d'entrée, passant par le routeur et atteignant leur destination par les interfaces de sortie. Les listes de contrôle d'accès sont configurées pour s'appliquer au trafic entrant ou sortant comme le montre la figure ci-dessous. II) Les Types des ACLs Il existe deux types de listes de contrôle d'accès IPv4 Cisco : les listes standard et les listes étendues. Remarque : les listes de contrôle d'accès IPv6 Cisco sont similaires aux listes de contrôle d'accès étendues Ipv4. Listes de contrôle d'accès standard Les listes de contrôle d'accès standard peuvent être utilisées pour autoriser ou refuser le trafic uniquement depuis des adresses IPv4 source. La destination du paquet et les ports concernés ne sont pas évalués Listes de contrôle d'accès étendues Les listes de contrôle d'accès étendues filtrent les paquets IPv4 en fonction de différents critères : •Type de protocole •Adresse IPv4 source •Adresse IPv4 de destination •Ports TCP ou UDP source •Ports TCP ou UDP de destination •Informations facultatives sur le type de protocole pour un contrôle plus précis ACL (Access Control List) Page 3
  • 4. El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications Numérotation et attribution d'un nom aux listes de contrôle d'accès Les listes de contrôle d'accès standard et étendues et leur liste d'instructions peuvent être identifiées par un numéro ou par un nom. Directives concernant la création des listes de contrôle d'accès L'écriture des listes de contrôle d'accès peut être une tâche complexe. Pour chaque interface, plusieurs stratégies peuvent être nécessaires pour gérer le type de trafic autorisé à entrer dans cette interface ou en sortir. Pour retenir la règle générale d'application des listes de contrôle d'accès, il suffit de se souvenir des trois P. Vous pouvez configurer une liste de contrôle d'accès par protocole, par direction et par interface : •Une liste de contrôle d'accès par protocole : pour contrôler le flux du trafic sur une interface, définissez une liste de contrôle d'accès pour chaque protocole activé sur l'interface. •Une liste de contrôle d'accès par direction : les listes de contrôle d'accès contrôlent le trafic dans une seule direction à la fois sur une interface. Vous devez créer deux listes de contrôle d'accès ; la première pour contrôler le trafic entrant et la seconde pour contrôler le trafic sortant. •Une liste de contrôle d'accès par interface : les listes de contrôle d'accès contrôlent le trafic dans une seule interface, par exemple, Gigabit Ethernet 0/0. ACL (Access Control List) Page 4
  • 5. El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications Positionnement des listes de contrôle d'accès Le positionnement approprié d'une liste de contrôle d'accès peut optimiser l'efficacité du réseau. Une liste de contrôle d'accès peut être placée de sorte à réduire le trafic superflu. Chaque liste de contrôle d'accès doit être placée là où elle aura le plus grand impact sur les performances. Listes de contrôle d'accès étendues : placez les listes de contrôle d'accès étendues le plus près possible de la source du trafic à filtrer. Listes de contrôle d'accès standard : étant donné que les listes de contrôle d'accès standard ne précisent pas les adresses de destination, placez-les le plus près possible de la destination. III) ACL Standard Configuration d'une liste de contrôle d'accès standard Pour utiliser des listes de contrôle d'accès standard numérotées sur un routeur Cisco, vous devez d'abord créer la liste de contrôle d'accès standard, puis l'activer sur une interface. • La commande de configuration globale access-list définit une liste de contrôle d'accès standard associée à un numéro compris entre 1 et 99. • La version 12.0.1 du logiciel Cisco IOS a élargi cette plage de numéros et permet d'attribuer les numéros 1 300 à 1 999 aux listes de contrôle d'accès standard. • La syntaxe complète de la commande des listes de contrôle d'accès standard est la suivante : Router(config)# access-listaccess-list-number { deny |permit | remark } source [source-wildcard ] [ log ] Pour mieux comprendre l’intérêt de chaque commande de l'ACL standard, le tableau ci-dessous donne une explication suffisante pour comprendre chaque partie de la syntaxe d'ACL standard. ACL (Access Control List) Page 5
  • 6. El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications Exemple 1 ACL STANDARD : Exemple 2 ACL STANDARD : Application de listes de contrôle d'accès standard aux interfaces Une fois qu'une liste de contrôle d'accès standard est configurée, elle est associée à une interface à l'aide de la commande ip access-group en mode de configuration d'interface: Router(config-if)# ip access-group { access-list-number |access-list-name } { in | out } ACL (Access Control List) Page 6
  • 7. El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications Pour supprimer une liste de contrôle d'accès IP d'une interface, entrez d'abord la commande no ip access-group sur l'interface, puis la commande globale no access-list pour supprimer l'ensemble de la liste. Création de listes de contrôle d'accès standard nommées Si vous attribuez un nom à une liste de contrôle d'accès, il vous sera plus facile d'en comprendre la fonction. Par exemple, vous pouvez nommer NO_FTP une liste de contrôle d'accès refusant le trafic FTP. Étape 1. À partir du mode de configuration globale, utilisez la commande ip access-list pour créer une liste de contrôle d'accès nommée. Étape 2. En mode de configuration des listes de contrôle d'accès nommées, utilisez les instructions permit (autoriser) ou deny (refuser) pour spécifier une ou plusieurs conditions déterminant si un paquet est transféré ou abandonné. Étape 3. Appliquez la liste de contrôle d'accès à une interface à l'aide de la commande ip access- group. Indiquez si la liste de contrôle d'accès doit être appliquée aux paquets lorsqu'ils entrent dans l'interface (in) ou lorsqu'ils quittent l'interface (out). Commentaires sur les listes de contrôle d'accès Vous pouvez utiliser le mot-clé remark pour intégrer des commentaires (remarques) sur les entrées dans n'importe quelle liste de contrôle d'accès IP standard ou étendue. Ces remarques facilitent la compréhension et la recherche des listes de contrôle d'accès. Chaque ligne de remarque est limitée à 100 caractères. ACL (Access Control List) Page 7
  • 8. El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications ACL (Access Control List) Page 8
  • 9. El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications IV) ACL étendue Des listes de contrôle d'accès IPv4 étendues peuvent être créées pour permettre un contrôle plus précis du filtrage du trafic. Les listes de contrôle d'accès étendues sont numérotées de 100 à 199 et de 2 000 à 2 699 ce qui offre un total de 799 numéros de listes de contrôle d'accès étendues disponibles. Vous pouvez également attribuer un nom aux listes de contrôle d'accès étendues. Avec les listes des contrôles d'accèes étendues vous aurez la possibilité de filtrer en fonction des protocoles et des numéros de port permet aux administrateurs réseau de créer des listes de contrôle d'accès étendues très précises. Une application peut être spécifiée soit par le numéro de port soit par le nom d'un port réservé. Configuration d'une liste de contrôle étendue Les procédures de configuration des listes de contrôle d'accès étendues sont les mêmes que pour les listes de contrôle d'accès standard. La liste de contrôle d'accès étendue est d'abord configurée, puis elle est activée sur une interface. La syntaxe et les paramètres de commande sont plus complexes car ils prennent en charge des fonctions supplémentaires fournies par les listes de contrôle d'accès étendues. La Figure ci-dessous illustre la syntaxe de commande courante pour les listes de contrôle d'accès étendues IPv4. Notez qu'il existe de nombreux mots-clés et paramètres pour les listes de contrôle d'accès étendues. Il n'est pas nécessaire de tous les utiliser lors de la configuration d'une liste de contrôle d'accès étendue. ACL (Access Control List) Page 9
  • 10. El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications Création de listes de contrôle d'accès étendues nommées ACL étendues nommées est similaire à la création des listes de contrôle d'accès standard nommées. Procédez comme suit pour créer une liste de contrôle d'accès étendue identifiée par un nom : Étape 1. En mode de configuration globale, utilisez la commande ip access-list extended name pour définir le nom de la liste de contrôle d'accès étendue. Étape 2. En mode de configuration de la liste de contrôle d'accès nommée, spécifiez les conditions permit ou deny. Étape 3. Repassez en mode d'exécution privilégié et vérifiez la liste à l'aide de la commande show access-lists name. ACL (Access Control List) Page 10
  • 11. El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications Exemple ACL nommées : Pour supprimer une liste de contrôle d'accès étendue nommée, utilisez la commande de configuration globale no ip access-list extended name. Modification des listes de contrôle d'accès étendues Une liste de contrôle d'accès étendue peut être modifiée comme suit : •1re méthode, l'éditeur de texte : cette méthode consiste à copier la liste de contrôle d'accès et à la coller dans l'éditeur de texte pour la modifier. Il faut ensuite supprimer la liste d'accès actuelle à l'aide de la commande no access-list. Une fois modifiée, elle est à nouveau collée dans la configuration. •2e méthode, les numéros d'ordre : les numéros d'ordre permettent de supprimer ou d'insérer une instruction de liste de contrôle d'accès. Exécutez la commande ip access-list extended name pour passer en mode de configuration de liste de contrôle d'accès nommée. Si la liste d'accès est numérotée plutôt que nommée. Rejoignez-nous dans notre groupe sur Facebook [ https://www.facebook.com/groups/RESEAUX2INFORMATIQUES2TELECOM/ ] ACL (Access Control List) Page 11
  • 12. El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications ACL IPv6 (Access Control List) Introduction Les listes de contrôle d'accès IPv6 sont très semblables aux listes de contrôle d'accès IPv4, tant dans leur fonctionnement que dans leur configuration. Si vous connaissez déjà les listes d'accès IPv4, vous n'aurez aucun mal à comprendre et à utiliser les listes IPv6. Il existe deux types de listes de contrôle d'accès IPv4, les listes de contrôle d'accès standard et étendues. Ces deux types de liste peuvent être numérotés ou nommés. En revanche, il n'existe qu'un seul type de liste de contrôle d'accès IPv6 et il correspond à une liste de contrôle d'accès étendue IPv4 nommée. Les listes de contrôle d'accès IPv6 numérotées n'existent pas. Comparaison des listes de contrôle d'accès IPv4 et Ipv6 Bien que les adresses IPv4 et IPv6 liste sont très similaires, il existe trois différences entre eux. Application d'une liste de contrôle d'accès Ipv6: IPv6 utilise la commande ipv6 traffic- filter pour effectuer la même tâche sur les interfaces IPv6. Aucun masque générique : les listes de contrôle d'accès IPv6 n'utilisent pas de masques génériques Instructions supplémentaires par défaut : la dernière différence majeure concerne l'ajout de deux instructions d'autorisation implicites à la fin de chaque liste de contrôle d'accès IPv6 ACL (Access Control List) Page 1
  • 13. El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications Configuration des listes de contrôle d'accès IPv6 Il existe uniquement des listes de contrôle d'accès IPv6 nommées. Leur configuration est similaire à celle d'une liste de contrôle d'accès étendue IPv4 nommée. Il existe trois étapes de base pour configurer une liste de contrôle d'accès IPv6 : Étape 1. En mode de configuration globale, utilisez la commande name ipv6 access-list pour créer une liste de contrôle d'accès IPv6. Remarque : les noms des listes de contrôle d'accès IPv6 sont alphanumériques, sensibles à la casse et doivent être uniques. Étape 2. En mode de configuration des listes de contrôle d'accès nommées, utilisez les instructions permit ou deny pour spécifier une ou plusieurs conditions pour déterminer si un paquet est transféré ou abandonné. La figure ci-dessous illustre la syntaxe de commande pour les listes de contrôle d'accès IPv6. Exemple de la configuration ACL IPv6 La Figure ci-dessus présente la procédure à suivre pour créer une liste de contrôle d'accès IPv6 à l'aide d'un exemple simple basé sur la topologie précédente. La première instruction nomme la liste ACL (Access Control List) Page 2
  • 14. El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications d'accès IPv6 NO-R3-LAN-ACCESS. Comme dans le cas d'IPv4, vous n'êtes pas obligé d'écrire les noms des listes de contrôle d'accès en majuscule, mais cela permet de les repérer plus facilement dans le résultat de la commande running-config. Application d'une liste de contrôle d'accès IPv6 à une interface Une fois que la liste de contrôle d'accès IPv6 est configurée, elle est associée à une interface à l'aide de la commande ipv6 traffic-filter : Router(config-if)# ipv6 traffic-filter access-list-name { in |out } Pour supprimer une liste de contrôle d'accès d'une interface, saisissez d'abord la commande no ipv6 traffic-filter sur l'interface, puis la commande globale no ipv6 access-list. Remarque : la commande access-classest utilisée à la fois par IPv4 et IPv6 pour appliquer une liste d'accès aux ports VTY. Vérification des listes de contrôle d'accès IPv6 Les commandes utilisées pour vérifier une liste d'accès IPv6 sont similaires à celles utilisées pour les listes de contrôle d'accès IPv4. la commandeshow access-lists affiche toutes les listes de contrôle d'accès sur le routeur (IPv4 et IPv6). Notez que pour les listes de contrôle d'accès IPv6, les numéros d'ordre figurent à la fin de l'instruction et non au début comme pour les listes d'accès IPv4. Exemple de vérification de contrôle d'accès IPv6 Rejoignez-nous dans notre groupe sur Facebook [ https://www.facebook.com/groups/RESEAUX2INFORMATIQUES2TELECOM/ ] ACL (Access Control List) Page 3