ACL Introduction
Une ACL est une liste séquentielle de déclarations d'autorisation ou de refus.
Il existe plusieurs type d'ACL : * Les ACL standard * Les ACL étendues * Les ACL nommées
Les ACL standard peuvent définir des filters basés sur les informations de la couches 3. Adresse IP source seulement.
Les ACL étendues peuvent définir des filters basés sur les informations des couches 3 et 4.
Les ACL nommées doivent être spécifiées comme étant soit standard, soit étendues. Au lieu d'utiliser un numéro, un nom peut être utilisé.
ACL Standard
access-list {1 to 99, 1300 to 1999} {permit | deny | remark} source-addr [source-wildcard][log]
ACL Etendues
access-list {100 to 199, 2000 to 2699} {permit | deny | remark} protocol source-addr [source-wildcard] dest-addr [dest-wildcard][operator port][established]
ACL Nommées
R1(config)# ip access-list [standard | extended] name_of_ACL
Standard ACL Syntax
R1(config-std-nacl)# {permit | deny | remark} {source [source-wildcard] | any}
Extended ACL Syntax
R1(config-ext-nacl)# {permit | deny | remark} protocol source-addr [source-wildcard] dest-address [dest-wildcard] [operator port]
| Paramètre | Description |
|---|---|
| deny | Refuse l'accès si les conditions sont remplies. |
| permit | Permet l'accès si les conditions sont remplies. |
| remark | Commentaire |
| protocol | Nom ou numéro d'un protocole Internet. icmp, ip, tcp ou udp. ip = ICMP, TCP, UDP. |
| source-addr | Numéro du réseau ou de l'hôte à partir duquel le paquet est envoyé. |
| source-wildcar | Masque au format wildcard |
| destination-addr | Numéro du réseau ou de l'hôte vers lequel le paquet est envoyé. |
| destination-wildcar | Masque au format wildcard |
| operator | Comparaison des ports. lt (<), gt (>), eq (=), neq (!=), range (range inclus). |
| port | (Facultatif) Le nombre décimal ou le nom d'un port TCP ou UDP. |
| established | (Facultatif) Pour le protocole TCP uniquement : indique une connexion établie. |
| log |
Appliqué des ACLS
Les ACLs peuvent être appliqué à différent endroit dans la configuration. Le plus courant est d'appliquer des ACLs sur les interfaces ou sur les lines VTY.
Interface
R1(config-if)# ip access-group {alc-# | name} {in | out}
VTY
R1(config-lines)# access-class {alc-# | name} {in | out}
Exemples
R1(config)# ip access-list extended SURFING
R1(config-ext-nacl)# permit tcp 192.168.10.0 0.0.0.255 any eq 80
R1(config-ext-nacl)# permit tcp 192.168.10.0 0.0.0.255 any eq 443
R1(config-ext-nacl)# exit
R1(config)# ip access-list extended BROWSING
R1(config-ext-nacl)# permit tcp any 192.168.10.0 0.0.0.255 established
R1(config-ext-nacl)# exit
R1(config)# interface g0/0
R1(config-if)# ip access-group SURFING in
R1(config-if)# ip access-group BROWSING out
Vérification
R1# show access-lists
Astuce
- La dernière déclaration doit-être si possible un
deny anyoudeny any any. - L'ordre des déclarations est important car les ACLs sont traitées de haut en bas.
- Les déclarations les plus spécifiques doivent se trouver en haut de la liste.
- Une seule ACL est autorisée par interface, par protocole, par direction (
in,out). - Les nouvelles déclarations pour un ACL existante sont ajoutées par défaut à la fin de la liste de ACL.
- Les paquets générés par les routeurs ne sont pas filtrés par les ACL sortantes.
- Les ACL standard être placé au plus près de la destination.
- Les ACL étendues doivent être placé au plus près de la source.