Concepts ACL

Réseau, sécurité et automatisation d'entreprise V7.0

(ENSA)
Objectifs de ce module

Titre du module: Concepts ACL

Objectif du module: Expliquer comment les listes de contrôle d'accès sont utilisées dans le
cadre d'une politique de sécurité réseau.
Titre de rubrique Objectif de rubrique
Objectif des listes de contrôle Expliquer comment les listes de contrôle d'accès
d'accès filtrent le trafic
Masques génériques dans les Expliquer comment les listes de contrôle d'accès
listes de contrôle d'accès utilisent des masques génériques.
Création de listes de contrôle Expliquer comment créer des listes de contrôle
d'accès d'accès.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 9
Types de listes de contrôle Comparer les listes de contrôle d'accès IPv4
d'accès IPv4 standard et étendues.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 10
4.1 Objectif des listes de
contrôle d'accès (ACL)

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 11
Objectif des listes de contrôle d'accès

4.1.1 Qu'est-ce qu'une liste de contrôle d'accès?

Une liste de contrôle d'accès (ou ACL) est une série de commandes IOS qui
déterminent si un routeur achemine ou abandonne les paquets en fonction des
informations contenues dans l'en-tête de paquet. Par défaut, aucun ACL n'est configuré
pour un routeur. Toutefois, lorsqu'une liste de contrôle d'accès est appliquée à une
interface, le routeur évalue en outre tous les paquets réseau lorsqu'ils traversent
l'interface pour déterminer s'ils peuvent être acheminés.
• Une ACL utilise une liste séquentielle de déclarations d'autorisation ou de refus,
connues sous le nom d'entrées de contrôle d'accès (ACE).
Remarque: Les ACE sont couramment appelées des instructions de liste de contrôle
d'accès.
• Lorsque le trafic réseau traverse une interface configurée avec une liste de contrôle
d'accès, le routeur compare les informations du paquet à chaque ACE, dans l'ordre

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 12
séquentiel, afin de déterminer si le paquet correspond à l'une des entrées ACE.
C’est ce que l’on appelle le filtrage de paquet.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 13
4.1.1 Qu'est-ce qu'une liste de contrôle d'accès? (Suite)

Plusieurs tâches effectuées par les routeurs nécessitent l'utilisation

d'ACL pour identifier le trafic:
• Limiter le trafic du réseau pour en augmenter les performances
• Elles contrôlent le flux de trafic.
• Elles fournissent un niveau de sécurité de base pour l'accès réseau.
• Elles filtrent le trafic en fonction de son type.
• Contrôler les hôtes pour autoriser ou refuser l'accès aux services de
réseau
• Donner la priorité à certaines classes de trafic réseau
Objectif des listes de contrôle d'accès

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 14
Objectif des listes de contrôle d'accès
4.1.2 Filtrage des paquets
• Le filtrage de paquets contrôle l'accès à
un réseau en analysant les paquets
entrants et/ou sortants et en les
transmettant ou en les abandonnant en
fonction de critères donnés.
• Le filtrage des paquets peut être effectué
au niveau de la couche 3 ou de la couche
4.
• Les routeurs Cisco prennent en charge
deux types de ACLs:
• ACL standard - Les ACL filtrent
uniquement au niveau de la couche 3 à
l'aide de l'adresse IPv4 source
uniquement.
• ACL étendues - Filtre ACL à la couche 3
à l'aide de l'adresse IPv4 source et/ou
destination. Ils peuvent également filtrer
au niveau de la couche 4 en utilisant les

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 15
 ports TCP et UDP, ainsi que des informations facultatives sur le type de protocole pour
un contrôle plus fin.
4.1.3 Le fonctionnement des listes de contrôle d'accès
• Les listes de contrôle d'accès définissent des règles de contrôle pour les paquets
arrivant par les interfaces d'entrée, passant par le routeur et atteignant leur
destination par les interfaces de sortie.
• Les listes de contrôle d'accès peuvent être configurées pour s'appliquer au trafic
entrant et au trafic sortant:
Remarque: Les ACL ne gèrent pas les paquets provenant du routeur lui-même.
• Un ACL entrant filtre les paquets avant qu'ils ne soient acheminés vers l'interface
sortante. Une liste de contrôle d’accès entrante est efficace car elle réduit la charge
des recherches de routage en cas d’abandon du paquet.
• Les listes de contrôle d'accès sortantes filtrent les paquets après qu'ils ont été
routés, et ce, quelle que soit l'interface de sortie.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 16
Objectif des listes de contrôle d'accès

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 17
Objectif des listes de contrôle d'accès
4.1.3 Le fonctionnement des listes de contrôle d'accès (Suite)
Lorsqu'une ACL est appliquée à une interface, elle suit une procédure d'exploitation
spécifique. Voici les étapes opérationnelles utilisées lorsque le trafic est entré dans une
interface de routeur avec une ACL IPv4 standard entrante configurée:
1. Le routeur extrait l'adresse IPv4 source de l'en-tête du paquet.
2. Le routeur commence en haut de l'ACL et compare l'adresse IPv4 source à chaque ACE dans
un ordre séquentiel.
3. Lorsqu'une correspondance est établie, le routeur exécute l'instruction, soit en autorisant soit en
refusant le paquet, et les ACE restants dans l'ACL, le cas échéant, ne sont pas analysés.
4. Si l'adresse IPv4 source ne correspond à aucun ACE de l'ACL, le paquet est ignoré car un ACE
de refus implicite est automatiquement appliqué à toutes les ACLs.
La dernière instruction d'une liste de contrôle d'accès est toujours une instruction deny
implicite bloquant tout le trafic. Il est caché et non affiché dans la configuration.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 18
Objectif des listes de contrôle d'accès
Remarque: Une liste ACL doit avoir au moins une déclaration d'autorisation sinon tout le trafic sera
refusé en raison de l'instruction ACE de refus implicite.

4.1.4 Packet Tracer - Démonstration des listes de contrôle

d'accès
Dans ce Packet Tracer, vous atteindrez les objectifs suivants:

• Partie 1: Vérifier la connectivité locale et tester la liste de contrôle d'accès

• Partie 2: supprimer la liste de contrôle d'accès et répéter le test

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 19
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 20
4.2 - Masques génériques
dans les listes de contrôle
d'accès

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 21
Masques génériques dans les listes de contrôle d'accès
4.2.1 Présentation de masques génériques
Un masque générique est similaire à un masque de sous-réseau en ce sens qu'il utilise le
processus AnDing pour identifier les bits d'une adresse IPv4 à correspondre. En effet,
contrairement à un masque de sous-réseau, où le chiffre binaire 1 équivaut à une
correspondance et le chiffre binaire 0 à une non-correspondance, les masques génériques
procèdent de façon inverse.
• Un ACE IPv4 utilise un masque générique 32 bits pour déterminer quels bits de
l'adresse à examiner pour rechercher une correspondance.
• Les masques génériques respectent les règles suivantes pour faire correspondre les
chiffres binaires 1 et 0:
• Bit 0 de masque générique - permet de vérifier la valeur du bit correspondant dans
l'adresse.
• Masque générique bit 1 - Ignorer la valeur du bit correspondant dans l'adresse
Masques génériques dans les listes de contrôle d'accès 4.2.1
Présentation de masques génériques (Suite)

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 22
 Dernier octet (en
Masque générique binaire) Signification (0 - match, 1 - ignorer)

0.0.0.0 00000000 Correspond à tous les octets.

•Faites correspondre les trois premiers octets

•Correspond aux deux bits les plus à gauche du dernier
0.0.0.63 00111111
octet
•Les 6 derniers bits d'adresse sont ignorés
•Faites correspondre les trois premiers octets
•Correspond aux quatre bits les plus à gauche du dernier
0.0.0.15 00001111
octet
•Ignorer les 4 derniers bits du dernier octet

•Faites correspondre les trois premiers octets

0.0.0.248 11111100 •Ignorer les six bits les plus à gauche du dernier octet
•Faites correspondre les deux derniers bits

•Faites correspondre les trois premiers octet

0.0.0.255 11111111
•Ignorer le dernier octet
Masques génériques dans les listes de contrôle d'accès

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 23
4.2.2 Types de masques génériques
Caractère générique pour correspondre à un hôte:
• Supposons que l'ACL 10 ait besoin d'un ACE qui autorise uniquement l'hôte avec
l'adresse IPv4 192.168.1.1. Rappelez-vous que "0" équivaut à une correspondance
et "1" à une ignorance. Pour correspondre à une adresse IPv4 d'hôte spécifique, un
masque générique composé de tous les zéros (c.-à-d. 0.0.0.0) est requis.
• Lorsque l'ACE est traité, le masque générique n'autorisera que l'adresse 192.168.1.1.
L'ACE résultant dans l'ACL 10 serait access-list 10 permit 192.168.1.1 0.0.0.0.

Décimal Binaire

Adresse IPv4 192.168.1.1 11000000.10101000.00000001.00000001

Masque
0.0.0.0 00000000.00000000.00000000.00000000
générique
Adresse IPv4
192.168.1.1 11000000.10101000.00000001.00000001
autorisée
Masques génériques dans les listes de contrôle d'accès

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 24
4.2.2 Types de masques génériques (Suite)
Masques génériques correspondant à des sous-réseaux IPv4
• ACL 10 a besoin d'un ACE qui autorise tous les hôtes du réseau 192.168.1.0/24. Le
masque générique 0.0.0.255 stipule que les trois premiers octets doivent
correspondre exactement, mais pas le quatrième octet.
• Lorsqu'il est traité, le masque générique 0.0.0.255 autorise tous les hôtes du réseau
192.168.1.0/24. L'ACE résultant dans l'ACL 10 serait access-list 10 permit
192.168.1.0 0.0.0.255.
Décimal Binaire

Adresse IPv4 192.168.1.1 11000000.10101000.00000001.00000001

Masque
0.0.0.255 00000000.00000000.00000000.11111111
générique
Adresse IPv4
192.168.1.0/24 11000000.10101000.00000001.00000000
autorisée
Masques génériques dans les listes de contrôle d'accès

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 25
4.2.2 Types de masques génériques (Suite)
Masque générique pour correspondre à une plage d'adresses IPv4
• ACL 10 a besoin d'un ACE qui autorise tous les hôtes des réseaux
192.168.16.0/24, 192.168.17.0/24,..., 192.168.31.0/24.
• Lorsqu'il est traité, le masque générique 0.0.15.255 autorise tous les hôtes des
réseaux 192.168.16.0/24 à 192.168.31.0/24. L'ACE résultant dans l'ACL 10 serait
access-list 10 permit 192.168.16.0 0.0.15.255.

Décimal Binaire

Adresse IPv4 192.168.16.0 11000000.10101000.00010000.00000000

Masque générique 0.0.15.255 00000000.00000000.00001111.11111111

192.168.16.0/24 11000000.10101000.00010000.00000000
Adresse IPv4 autorisée à
192.168.31.0/24 11000000.10101000.00011111.00000000
Masques génériques dans les listes de contrôle d'accès

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 26
4.2.3 Calcul de masque générique
Le calcul des masques génériques peut être complexe. La méthode la plus
rapide consiste à soustraire le masque de sous-réseau de 255.255.255.255.
Voici quelques exemples:
• Supposons que vous vouliez un ACE en ACL 10 pour permettre l'accès à tous les
utilisateurs du réseau 192.168.3.0/24. Pour calculer le masque générique, soustrayez
le masque de sous-réseau (c'est-à-dire 255.255.255.0) de 255.255.255.255. Cela
génère le masque générique 0.0.0.255. L'ACE serait access-list 10 permit
192.168.1.0 0.0.0.255.
• Supposons que vous vouliez un ACE en ACL 10 pour permettre l'accès au réseau
aux 14 utilisateurs du sous-réseau 192.168.3.32/28. Soustraire le sous-réseau
(c'està-dire 255.255.255.240) de 255.255.255.255. Cela génère le masque générique
0.0.0.15. L'ACE serait access-list 10 permit 192.168.3.32 0.0.0.15
• Supposons que vous ayez besoin d'un ACE dans ACL 10 pour autoriser uniquement
les réseaux 192.168.10.0 et 192.168.11.0. Ces deux réseaux pourraient être
résumés comme 192.168.10.0/23 qui est un masque de sous-réseau de
255.255.254.0. Soustrayez 255.255.254.0 masque de sous-réseau de
255.255.255.255. Cela génère le masque générique 0.0.1.255. L'ACE serait access-
list 10 permit 192.168.10.0 0.0.1.255.
Masques génériques dans les listes de contrôle d'accès
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 27
4.2.4 Les mots-clés des masques génériques
L'IOS de Cisco fournit deux mots clés pour identifier les utilisations les plus courantes du
masquage générique. Les deux mots-clés sont:
• host - Ce mot-clé remplace le masque 0.0.0.0 Ce masque indique que tous les bits
d'adresse IPv4 doivent correspondre pour pouvoir filtrer juste une adresse d'hôte.
• any - Ce mot clé remplace le masque 255.255.255.255 Ce masque indique qu'il
convient d'ignorer l'intégralité de l'adresse IPv4 ou d'accepter n'importe quelle
adresse.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 28
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 29
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 30
4.3 Directives pour la
création de LCA

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 31
Directives pour la création d'ACL
4.3.1 Nombre limité d'ACL par interface
Le nombre de listes ACL pouvant être appliquées sur une interface de routeur est
limité. Par exemple, une interface de routeur double empilée (c'est-à-dire IPv4 et IPv6)
peut avoir jusqu'à quatre ACL appliquées, comme indiqué sur la figure. Plus
précisément, une interface de routeur peut avoir:

• Une liste ACL sortante IPv4.

• Une ACL IPv4 entrante.
• Une ACL IPv6 entrante.
• Une liste ACL IPv6 sortante.

Remarque: il n'est pas nécessaire de

configurer les listes de contrôle d'accès
dans les deux directions. Le nombre d'ACL

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 32
 et leur direction appliquée à l'interface dépendront de la stratégie de sécurité de
l'organisation.
Directives sur la création des listes de contrôle d'accès
4.3.2 Meilleure pratiques relatives aux listes de contrôle
d'accès
L'utilisation des listes de contrôle d'accès nécessite beaucoup de précision et de soin.
Les erreurs peuvent vous coûter cher et se solder par des pannes de réseau,
d’importants efforts de dépannage et des services réseau médiocres. Une planification
de base est nécessaire avant de configurer une ACL.
Directive Avantage

Créez vos listes de contrôle d'accès conformément à la Vous serez ainsi certain d'implémenter les instructions
stratégie de sécurité de votre entreprise. relatives à la sécurité organisationnelle.

Vous éviterez ainsi de créer d'éventuels problèmes

Écrivez ce que vous voulez que l'ACL fasse.
d'accès par mégarde.

Utilisez un éditeur de texte pour créer, modifier et Vous pourrez ainsi créer une bibliothèque de listes de
enregistrer les listes de contrôle d'accès. contrôle d'accès réutilisables.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 33
 Cela vous aidera (et d'autres) à comprendre le but d'un
Documentez les ACL à l'aide de la commande remark .
ACE.

Testez vos listes de contrôle d'accès sur un réseau de

développement avant de les implémenter sur un réseau Vous éviterez ainsi de commettre des erreurs coûteuses.
de production.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 34
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 35
4.4 Types d'ACL IPv4

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 36
Types de listes de contrôle d'accès IPv4
4.4.1 Listes de contrôle d'accès standard et étendues
Types de listes de contrôle d'accès IPv4
• ACL standard - Ces listes autorisent ou refusent les paquets basés uniquement sur
l'adresse IPv4 source.
• ACL étendues - Ces listes autorisent ou refusent les paquets basés sur l'adresse
IPv4 source et l'adresse IPv4 de destination, le type de protocole, les ports TCP ou
UDP source et destination et plus encore.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 37
 4.4.2 Listes de contrôle d'accès numérotées et nommées

Listes de contrôle d’accès numérotées

• Les ACL numérotées 1-99 ou 1300-1999 sont des ACL standard, tandis que les ACL
numérotées 100-199 ou 2000-2699 sont des ACL étendues.

R1(config)# access-list ?
<1-99> IP standard access list
<100-199> IP extended access list
<700-799> 48-bit MAC address access list
<1300-1999> IP standard access list (expanded range)
<200-299> Protocol type-code access list
<2000-2699> IP extended access list (expanded range)
<700-799> 48-bit MAC address access list rate-
limit Simple rate-limit specific access list
template Enable IP template acls
Router(config)# access-list
Types de listes de contrôle d'accès IPv4

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 38
Types de listes de contrôle d'accès IPv4
4.4.2 Listes de contrôle d'accès numérotées et nommées (Suite)
Listes de contrôle d'accès nommées
• Les ACL nommées sont la méthode préférée à utiliser lors de la configuration des ACL.
Plus précisément, les listes ACL standard et étendues peuvent être nommées pour
fournir des informations sur l'objet de la liste ACL. Par exemple, nommer un ACL FTP-
FILTER étendu est beaucoup mieux que d'avoir une ACL numérotée 100.
• La commande de configuration globale ip access-list est utilisée pour créer une liste
ACL nommée, comme illustré dans l'exemple suivant.

R1(config)# ip access-list extended FTP-FILTER

R1(config-ext-nacl)# permit tcp 192.168.10.0 0.0.0.255 any eq ftp
R1(config-ext-nacl)# permit tcp 192.168.10.0 0.0.0.255 any eq ftp-data
R1(config-ext-nacl)#
4.4.3 Où placer les listes de contrôle d'accès
• Chaque liste de

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 39
 contrôle d'accès doit
être placée là où elle
aura le plus grand
impact sur les
performances.
• Les listes de
contrôle d'accès
étendues doivent
être placées le plus
près possible de la
source du trafic à
filtrer.
• Les listes de
contrôle d'accès
standard doivent
être placées le plus
près possible de la
destination.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 40
Types de listes de contrôle d'accès IPv4
Types de listes de contrôle d'accès IPv4 4.4.3 Où placer les listes
de contrôle d'accès (Suite)
Facteurs influençant le placement des
Explication
ACL
Le placement de l'ACL peut dépendre du fait que
L'étendue du contrôle organisationnel l'organisation contrôle ou non les réseaux source et
destination.
Il peut être souhaitable de filtrer le trafic indésirable à la
Bande passante des réseaux
source pour empêcher la transmission de trafic qui
concernés
consomme de la bande passante.
•Il peut être plus facile d'implémenter une liste ACL à
destination, mais le trafic utilisera inutilement la bande
passante.
•Une liste de contrôle d'accès étendue peut être
Simplicité de configuration
utilisée sur chaque routeur d'où provient le trafic. Cela
permet d'économiser de la bande passante en filtrant
le trafic à la source, mais exige de créer des listes de
contrôle d'accès étendues sur plusieurs routeurs.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 41
4.4.4 Exemple d'emplacement de liste de contrôle d'accès
standard
Sur la figure,
l'administrateur
souhaite empêcher
le trafic provenant
du réseau
192.168.10.0/24
d'accéder au
réseau
192.168.30.0/24.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 42
Types de listes de contrôle d'accès IPv4
En suivant les instructions de placement de base, l'administrateur place une liste ACL
standard sur le routeur R3.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 43
Types de listes de contrôle d'accès IPv4
4.4.4 Exemple d'emplacement de liste de contrôle d'accès
standard (Suite)
Il existe deux interfaces possibles
sur R3 pour appliquer l'ACL
standard:
• Interface R3 S0/1/1 (entrante)
L'ACL standard peut être
appliquée entrante sur l'interface
R3 S0/1/1 pour refuser le trafic à
partir du réseau .10. Cependant, il
filtre également le trafic .10 vers le
réseau 192.168.31.0/24 (.31 dans
cet exemple). Par conséquent,
l'ACL standard ne doit pas être
appliquée à cette interface.
• Interface R3 G0/0 (sortante)
L'ACL standard peut être
appliquée sortante sur l'interface
R3 G0/0/0. Cela n'affecte pas les
autres réseaux accessibles par R3.
Les paquets du réseau .10
pourront toujours atteindre le

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 44
Types de listes de contrôle d'accès IPv4
réseau .31. C'est la meilleure interface pour placer la liste ACL standard pour répondre
aux exigences de trafic.

4.4.5 Exemple d'emplacement d'une liste de contrôle

d'accès étendue
• Les ACL étendus doivent
être situés aussi près que
possible de la source.
• Cependant, l'organisation
ne peut placer des ACL que
sur les appareils qu'elle
contrôle. Par conséquent,
cet emplacement doit être
déterminé par la portée du
contrôle dont dispose
l’administrateur réseau.
• Dans la figure, par exemple,
la société A veut refuser le
trafic Telnet et FTP au
réseau 192.168.30.0/24 de

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 45
Types de listes de contrôle d'accès IPv4
la société B à partir de son réseau 192.168.11.0/24 tout en autorisant tout
autre trafic.
4.4.5 Exemple d'emplacement d'une liste de contrôle
d'accès étendue (Suite)
Un ACL étendu sur R3 permettrait d'accomplir la
tâche, mais l'administrateur ne contrôle pas R3. En
outre, cette solution autorise le passage du trafic
indésirable sur l'ensemble du réseau avant de le
bloquer lorsqu'il arrive à destination.
La solution consiste à placer une liste ACL étendue
sur R1 qui spécifie à la fois les adresses source et
de destination.
La figure illustre deux interfaces possibles sur R1
pour appliquer la liste de contrôle d'accès étendue:
• interface R1 S0/1/0 (sortante) - L'ACL étendue peut être
appliquée sortante sur l'interface S0/1/0 Cette solution
traitera tous les paquets quittant R1 y compris les paquets
de 192.168.10.0/24.
• Interface R1 G0/0/1 (entrante) - L'ACL étendu peut être
appliqué en entrée sur le G0/0/1 et seuls les paquets du
réseau 192.168.11.0/24 sont soumis au traitement ACL sur R1 Puisque le filtre doit être limité aux seuls paquets
quittant le réseau 192.168.11.0/24, l'application de la liste de contrôle d'accès étendue à G0/1 constitue la
meilleure solution.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 46
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 47
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 48
4.5 Module pratique et
questionnaire

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 49
Module pratique et questionnaire
4.5.1 Qu'est-
ce que j'ai appris dans ce module?
• Une liste de contrôle d'accès (ou ACL) est une série de commandes IOS qui déterminent si
un routeur achemine ou abandonne les paquets en fonction des informations contenues
dans l'en-tête de paquet.
• Un routeur n'a pas d'ACL configuré par défaut.
• Toutefois, lorsqu'une liste de contrôle d'accès est appliquée à une interface, le routeur
évalue en outre tous les paquets réseau lorsqu'ils traversent l'interface pour déterminer s'ils
peuvent être acheminés.
• Une ACL utilise une liste séquentielle de déclarations d'autorisation ou de refus, connues
sous le nom d'ACE.
• Les routeurs Cisco prennent en charge deux types d'ACL: ACL standard et ACL étendues.
• Un ACL entrant filtre les paquets avant qu'ils ne soient acheminés vers l'interface sortante.
Si le paquet est autorisé par la liste de contrôle d'accès, il est alors traité pour le routage.
• Les listes de contrôle d'accès sortantes filtrent les paquets après qu'ils ont été routés, et ce,
quelle que soit l'interface de sortie.
• Un ACE IPv4 utilise un masque générique 32 bits pour déterminer quels bits de l'adresse à
examiner pour rechercher une correspondance.
• Un masque générique est similaire à un masque de sous-réseau en ce sens qu'il utilise le
processus AnDing pour identifier les bits d'une adresse IPv4 à correspondre. Cependant, ils
diffèrent dans la façon dont ils correspondent aux binaires 1 et 0. Masque générique bit 0

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 50
Module pratique et questionnaire
4.5.1 Qu'est-
correspond à la valeur du bit correspondant dans l'adresse Masque générique bit 1 ignore
la valeur du bit correspondant dans l'adresse.
ce que j'ai appris dans ce module? (Suite)
• Une autre manière de calculer un masque générique est de soustraire le masque de
sousréseau de 255.255.255.255.
• Travailler avec des représentations décimales de bits de masque générique binaire peut
être simplifié en utilisant les mots-clés Cisco IOS host et any pour identifier les utilisations
les plus courantes du masquage de masquage génériques.
• Le nombre de listes ACL pouvant être appliquées sur une interface de routeur est limité.
• Il n'est pas nécessaire de configurer les ACL dans les deux sens. Le nombre d'ACL et leur
direction appliquée à l'interface dépendront de la stratégie de sécurité de l'organisation.
• Les ACL standard autorisent ou refusent les paquets selon l'adresse IPv4 source
uniquement.
• Les ACLs étendues autorisent ou refusent les paquets en fonction de l'adresse IPv4 source
et de l'adresse IPv4 de destination, du type de protocole, des ports TCP ou UDP source et
destination et plus encore.
• Les ACL numérotées 1-99 ou 1300-1999 sont des ACL standard. Les ACL numérotées
100199, ou 2000-2699, sont des ACL étendues.
• Les ACLs nommées sont la méthode préférée à utiliser lors de la configuration des ACL.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 51
Module pratique et questionnaire
4.5.1 Qu'est-
• Plus précisément, les listes ACL standard et étendues peuvent être nommées pour fournir
des informations sur l'objet de la liste ACL.
• Chaque liste de contrôle d'accès doit être placée là où elle aura le plus grand impact sur les
performances.
ce que j'ai appris dans ce module? (Suite)
• Les listes de contrôle d'accès étendues doivent être placées le plus près possible de la
source du trafic à filtrer. De cette manière, le trafic indésirable est refusé près du réseau
source et ne traverse pas l'infrastructure de réseau.
• Les listes de contrôle d'accès standard doivent être placées le plus près possible de la
destination. Si une liste de contrôle d'accès standard a été placée à la source du trafic,
l'instruction «permit» ou «deny» est appliquée en fonction de l'adresse source, quelle que
soit la destination du trafic.
• Le placement de l'ACL peut dépendre de l'étendue du contrôle organisationnel, de la bande
passante des réseaux et de la facilité de configuration.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 52
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 53
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 54
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 55
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 56
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 57
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 58
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 59