Le document explique le fonctionnement et la configuration des listes de contrôle d'accès (ACL) dans les réseaux, en décrivant leur rôle dans le contrôle du trafic et leur impact sur la sécurité et les performances. Deux types principaux d'ACL sont abordés : les standard et les étendues, chacune ayant des critères distincts pour le filtrage des paquets. Enfin, le document aborde également les ACL en IPv6, soulignant leur similitude avec celles en IPv4 tout en notant les différences dans leur configuration.

1. El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications
ACL
(Access Control List)
Introduction
Une liste de contrôle d'accès est un ensemble séquentiel d'instructions d'autorisation ou de refus qui
s'appliquent aux adresses ou aux protocoles de couche supérieure. Les listes de contrôle d'accès
représentent un outil puissant pour contrôler le trafic entrant ou sortant d'un réseau. Des listes de
contrôle d'accès peuvent être configurées pour tous les protocoles réseau routés.
I) Objectif des listes de contrôle d'accès
Qu'est-ce qu'une liste de contrôle d'accès ?
Une liste de contrôle d'accès (ou ACL) est une série de commandes IOS qui déterminent si un
routeur achemine ou abandonne les paquets en fonction des informations contenues dans l'en-tête de
paquet. Les listes de contrôle d'accès font partie des fonctionnalités les plus utilisées du logiciel
Cisco IOS.
Une fois configurées, les listes de contrôle d'accès assurent les tâches suivantes
• Elles limitent le trafic réseau pour accroître les performances réseau. Ainsi, la charge réseau
est nettement réduite et les performances réseau sont sensiblement améliorées.
• Elles contrôlent le flux de trafic. Les listes de contrôle d'accès peuvent limiter l'arrivée des
mises à jour de routage.
• Elles fournissent un niveau de sécurité de base pour l'accès réseau.
• Elles filtrent le trafic en fonction de son type.
• Elles filtrent les hôtes pour autoriser ou refuser l'accès aux services sur le réseau.
Filtrage des paquets
Le filtrage des paquets, parfois appelé filtrage statique des paquets, contrôle l'accès à un réseau en
analysant les paquets entrants et sortants et en les transmettant ou en rejetant selon des critères
spécifiques, tels que l'adresse IP source, les adresses IP de destination et le protocole transporté dans
le paquet.
ACL (Access Control List) Page 1

2. El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications
• Un routeur filtre les paquets lors de leur transmission ou de leur refus conformément aux
règles de filtrage.
• Un routeur de filtrage de paquets utilise des règles pour déterminer s'il doit autoriser ou
refuser le trafic. Un routeur peut également effectuer le filtrage des paquets au niveau de la
couche 4, la couche transport.
Une liste de contrôle d'accès est un ensemble séquentiel d'instructions d'autorisation ou de refus,
appelées entrées de contrôle d'accès (ACE). Les ACE sont couramment appelées des instructions de
liste de contrôle d'accès. Des ACE peuvent être créés pour filtrer le trafic en fonction de critères tels
que l'adresse source, l'adresse de destination, le protocole et les numéros de port.
Exemple de filtrage des paquets
Pour comprendre comment un routeur utilise le filtrage des paquets, imaginez qu'un gardien a été
placé devant une porte verrouillée. Le gardien a reçu pour instruction de ne laisser passer que les
personnes dont les noms figurent sur une liste. Il filtre le passage des personnes conformément à la
liste des noms autorisés. Les listes de contrôle d'accès fonctionnent de la même façon et prennent
des décisions en fonction de critères définis.
Par exemple, une liste de contrôle d'accès peut être configurée pour « autoriser l'accès Web aux
utilisateurs du réseau A, mais leur refuser l'accès à tous les autres services. Refuser l'accès HTTP
aux utilisateurs du réseau B, mais leur autoriser tous les autres accès. »
ACL (Access Control List) Page 2

3. El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications
Fonctionnement des listes de contrôle d'accès
Les listes de contrôle d'accès définissent des règles de contrôle pour les paquets arrivant par les
interfaces d'entrée, passant par le routeur et atteignant leur destination par les interfaces de sortie.
Les listes de contrôle d'accès sont configurées pour s'appliquer au trafic entrant ou sortant comme le
montre la figure ci-dessous.
II) Les Types des ACLs
Il existe deux types de listes de contrôle d'accès IPv4 Cisco : les listes standard et les listes
étendues.
Remarque : les listes de contrôle d'accès IPv6 Cisco sont similaires aux listes de contrôle d'accès
étendues Ipv4.
Listes de contrôle d'accès standard
Les listes de contrôle d'accès standard peuvent être utilisées pour autoriser ou refuser le trafic
uniquement depuis des adresses IPv4 source. La destination du paquet et les ports concernés ne
sont pas évalués
Listes de contrôle d'accès étendues
Les listes de contrôle d'accès étendues filtrent les paquets IPv4 en fonction de différents critères :
•Type de protocole
•Adresse IPv4 source
•Adresse IPv4 de destination
•Ports TCP ou UDP source
•Ports TCP ou UDP de destination
•Informations facultatives sur le type de protocole pour un contrôle plus précis
ACL (Access Control List) Page 3

4. El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications
Numérotation et attribution d'un nom aux listes de contrôle d'accès
Les listes de contrôle d'accès standard et étendues et leur liste d'instructions peuvent être identifiées
par un numéro ou par un nom.
Directives concernant la création des listes de contrôle d'accès
L'écriture des listes de contrôle d'accès peut être une tâche complexe. Pour chaque interface,
plusieurs stratégies peuvent être nécessaires pour gérer le type de trafic autorisé à entrer dans cette
interface ou en sortir.
Pour retenir la règle générale d'application des listes de contrôle d'accès, il suffit de se souvenir des
trois P. Vous pouvez configurer une liste de contrôle d'accès par protocole, par direction et par
interface :
•Une liste de contrôle d'accès par protocole : pour contrôler le flux du trafic sur une
interface, définissez une liste de contrôle d'accès pour chaque protocole activé sur l'interface.
•Une liste de contrôle d'accès par direction : les listes de contrôle d'accès contrôlent le
trafic dans une seule direction à la fois sur une interface. Vous devez créer deux listes de
contrôle d'accès ; la première pour contrôler le trafic entrant et la seconde pour contrôler le
trafic sortant.
•Une liste de contrôle d'accès par interface : les listes de contrôle d'accès contrôlent le
trafic dans une seule interface, par exemple, Gigabit Ethernet 0/0.
ACL (Access Control List) Page 4

5. El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications
Positionnement des listes de contrôle d'accès
Le positionnement approprié d'une liste de contrôle d'accès peut optimiser l'efficacité du réseau.
Une liste de contrôle d'accès peut être placée de sorte à réduire le trafic superflu. Chaque liste de
contrôle d'accès doit être placée là où elle aura le plus grand impact sur les performances.
Listes de contrôle d'accès étendues : placez les listes de contrôle d'accès étendues le plus près
possible de la source du trafic à filtrer.
Listes de contrôle d'accès standard : étant donné que les listes de contrôle d'accès standard ne
précisent pas les adresses de destination, placez-les le plus près possible de la destination.
III) ACL Standard
Configuration d'une liste de contrôle d'accès standard
Pour utiliser des listes de contrôle d'accès standard numérotées sur un routeur Cisco, vous devez
d'abord créer la liste de contrôle d'accès standard, puis l'activer sur une interface.
• La commande de configuration globale access-list définit une liste de contrôle d'accès
standard associée à un numéro compris entre 1 et 99.
• La version 12.0.1 du logiciel Cisco IOS a élargi cette plage de numéros et permet d'attribuer
les numéros 1 300 à 1 999 aux listes de contrôle d'accès standard.
• La syntaxe complète de la commande des listes de contrôle d'accès standard est la suivante :
Router(config)# access-listaccess-list-number { deny |permit | remark } source [source-wildcard ]
[ log ]
Pour mieux comprendre l’intérêt de chaque commande de l'ACL standard, le tableau ci-dessous
donne une explication suffisante pour comprendre chaque partie de la syntaxe d'ACL standard.
ACL (Access Control List) Page 5

6. El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications
Exemple 1 ACL STANDARD :
Exemple 2 ACL STANDARD :
Application de listes de contrôle d'accès standard aux interfaces
Une fois qu'une liste de contrôle d'accès standard est configurée, elle est associée à une interface à
l'aide de la commande ip access-group en mode de configuration d'interface:
Router(config-if)# ip access-group { access-list-number |access-list-name } { in | out }
ACL (Access Control List) Page 6

7. El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications
Pour supprimer une liste de contrôle d'accès IP d'une interface, entrez d'abord la commande no ip
access-group sur l'interface, puis la commande globale no access-list pour supprimer l'ensemble de
la liste.
Création de listes de contrôle d'accès standard nommées
Si vous attribuez un nom à une liste de contrôle d'accès, il vous sera plus facile d'en comprendre la
fonction. Par exemple, vous pouvez nommer NO_FTP une liste de contrôle d'accès refusant le trafic
FTP.
Étape 1. À partir du mode de configuration globale, utilisez la commande ip access-list pour créer
une liste de contrôle d'accès nommée.
Étape 2. En mode de configuration des listes de contrôle d'accès nommées, utilisez les
instructions permit (autoriser) ou deny (refuser) pour spécifier une ou plusieurs conditions
déterminant si un paquet est transféré ou abandonné.
Étape 3. Appliquez la liste de contrôle d'accès à une interface à l'aide de la commande ip access-
group. Indiquez si la liste de contrôle d'accès doit être appliquée aux paquets lorsqu'ils entrent dans
l'interface (in) ou lorsqu'ils quittent l'interface (out).
Commentaires sur les listes de contrôle d'accès
Vous pouvez utiliser le mot-clé remark pour intégrer des commentaires (remarques) sur les entrées
dans n'importe quelle liste de contrôle d'accès IP standard ou étendue. Ces remarques facilitent la
compréhension et la recherche des listes de contrôle d'accès. Chaque ligne de remarque est limitée à
100 caractères.
ACL (Access Control List) Page 7

8. El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications
ACL (Access Control List) Page 8

9. El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications
IV) ACL étendue
Des listes de contrôle d'accès IPv4 étendues peuvent être créées pour permettre un contrôle plus
précis du filtrage du trafic. Les listes de contrôle d'accès étendues sont numérotées de 100 à 199 et
de 2 000 à 2 699 ce qui offre un total de 799 numéros de listes de contrôle d'accès étendues
disponibles. Vous pouvez également attribuer un nom aux listes de contrôle d'accès étendues.
Avec les listes des contrôles d'accèes étendues vous aurez la possibilité de filtrer en fonction des
protocoles et des numéros de port permet aux administrateurs réseau de créer des listes de contrôle
d'accès étendues très précises. Une application peut être spécifiée soit par le numéro de port soit par
le nom d'un port réservé.
Configuration d'une liste de contrôle étendue
Les procédures de configuration des listes de contrôle d'accès étendues sont les mêmes que pour les
listes de contrôle d'accès standard. La liste de contrôle d'accès étendue est d'abord configurée, puis
elle est activée sur une interface. La syntaxe et les paramètres de commande sont plus complexes
car ils prennent en charge des fonctions supplémentaires fournies par les listes de contrôle d'accès
étendues.
La Figure ci-dessous illustre la syntaxe de commande courante pour les listes de contrôle d'accès
étendues IPv4. Notez qu'il existe de nombreux mots-clés et paramètres pour les listes de contrôle
d'accès étendues. Il n'est pas nécessaire de tous les utiliser lors de la configuration d'une liste de
contrôle d'accès étendue.
ACL (Access Control List) Page 9

10. El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications
Création de listes de contrôle d'accès étendues nommées
ACL étendues nommées est similaire à la création des listes de contrôle d'accès standard nommées.
Procédez comme suit pour créer une liste de contrôle d'accès étendue identifiée par un nom :
Étape 1. En mode de configuration globale, utilisez la commande ip access-list
extended name pour définir le nom de la liste de contrôle d'accès étendue.
Étape 2. En mode de configuration de la liste de contrôle d'accès nommée, spécifiez les
conditions permit ou deny.
Étape 3. Repassez en mode d'exécution privilégié et vérifiez la liste à l'aide de la commande show
access-lists name.
ACL (Access Control List) Page 10

11. El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications
Exemple ACL nommées :
Pour supprimer une liste de contrôle d'accès étendue nommée, utilisez la commande de
configuration globale no ip access-list extended name.
Modification des listes de contrôle d'accès étendues
Une liste de contrôle d'accès étendue peut être modifiée comme suit :
•1re méthode, l'éditeur de texte : cette méthode consiste à copier la liste de contrôle d'accès
et à la coller dans l'éditeur de texte pour la modifier. Il faut ensuite supprimer la liste d'accès
actuelle à l'aide de la commande no access-list. Une fois modifiée, elle est à nouveau collée
dans la configuration.
•2e méthode, les numéros d'ordre : les numéros d'ordre permettent de supprimer ou
d'insérer une instruction de liste de contrôle d'accès. Exécutez la commande ip access-list
extended name pour passer en mode de configuration de liste de contrôle d'accès nommée.
Si la liste d'accès est numérotée plutôt que nommée.
Rejoignez-nous dans notre groupe sur Facebook
[ https://www.facebook.com/groups/RESEAUX2INFORMATIQUES2TELECOM/ ]
ACL (Access Control List) Page 11

12. El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications
ACL IPv6
(Access Control List)
Introduction
Les listes de contrôle d'accès IPv6 sont très semblables aux listes de contrôle d'accès IPv4, tant dans
leur fonctionnement que dans leur configuration. Si vous connaissez déjà les listes d'accès IPv4,
vous n'aurez aucun mal à comprendre et à utiliser les listes IPv6.
Il existe deux types de listes de contrôle d'accès IPv4, les listes de contrôle d'accès standard et
étendues. Ces deux types de liste peuvent être numérotés ou nommés.
En revanche, il n'existe qu'un seul type de liste de contrôle d'accès IPv6 et il correspond à une liste
de contrôle d'accès étendue IPv4 nommée. Les listes de contrôle d'accès IPv6 numérotées n'existent
pas.
Comparaison des listes de contrôle d'accès IPv4 et Ipv6
Bien que les adresses IPv4 et IPv6 liste sont très similaires, il existe trois différences entre eux.
Application d'une liste de contrôle d'accès Ipv6: IPv6 utilise la commande ipv6 traffic-
filter pour effectuer la même tâche sur les interfaces IPv6.
Aucun masque générique : les listes de contrôle d'accès IPv6 n'utilisent pas de masques
génériques
Instructions supplémentaires par défaut : la dernière différence majeure concerne l'ajout de deux
instructions d'autorisation implicites à la fin de chaque liste de contrôle d'accès IPv6
ACL (Access Control List) Page 1

13. El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications
Configuration des listes de contrôle d'accès IPv6
Il existe uniquement des listes de contrôle d'accès IPv6 nommées. Leur configuration est similaire à
celle d'une liste de contrôle d'accès étendue IPv4 nommée.
Il existe trois étapes de base pour configurer une liste de contrôle d'accès IPv6 :
Étape 1. En mode de configuration globale, utilisez la commande name ipv6 access-list pour créer
une liste de contrôle d'accès IPv6.
Remarque : les noms des listes de contrôle d'accès IPv6 sont alphanumériques, sensibles à la casse
et doivent être uniques.
Étape 2. En mode de configuration des listes de contrôle d'accès nommées, utilisez les
instructions permit ou deny pour spécifier une ou plusieurs conditions pour déterminer si un paquet
est transféré ou abandonné.
La figure ci-dessous illustre la syntaxe de commande pour les listes de contrôle d'accès IPv6.
Exemple de la configuration ACL IPv6
La Figure ci-dessus présente la procédure à suivre pour créer une liste de contrôle d'accès IPv6 à
l'aide d'un exemple simple basé sur la topologie précédente. La première instruction nomme la liste
ACL (Access Control List) Page 2

14. El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications
d'accès IPv6 NO-R3-LAN-ACCESS. Comme dans le cas d'IPv4, vous n'êtes pas obligé d'écrire les
noms des listes de contrôle d'accès en majuscule, mais cela permet de les repérer plus facilement
dans le résultat de la commande running-config.
Application d'une liste de contrôle d'accès IPv6 à une interface
Une fois que la liste de contrôle d'accès IPv6 est configurée, elle est associée à une interface à l'aide
de la commande ipv6 traffic-filter :
Router(config-if)# ipv6 traffic-filter access-list-name { in |out }
Pour supprimer une liste de contrôle d'accès d'une interface, saisissez d'abord la commande no ipv6
traffic-filter sur l'interface, puis la commande globale no ipv6 access-list.
Remarque : la commande access-classest utilisée à la fois par IPv4 et IPv6 pour appliquer une liste
d'accès aux ports VTY.
Vérification des listes de contrôle d'accès IPv6
Les commandes utilisées pour vérifier une liste d'accès IPv6 sont similaires à celles utilisées pour
les listes de contrôle d'accès IPv4.
la commandeshow access-lists affiche toutes les listes de contrôle d'accès sur le routeur (IPv4 et
IPv6). Notez que pour les listes de contrôle d'accès IPv6, les numéros d'ordre figurent à la fin de
l'instruction et non au début comme pour les listes d'accès IPv4.
Exemple de vérification de contrôle d'accès IPv6
Rejoignez-nous dans notre groupe sur Facebook
[ https://www.facebook.com/groups/RESEAUX2INFORMATIQUES2TELECOM/ ]
ACL (Access Control List) Page 3