ACL (liste de contrôle d’accès) Une ACL est une suite d’instructions d’instructions permettant de fltrer (d’autoriser ou de reuser) reuser) des paquets entrant ou sortant d’une interace du routeur en onction d’un certain nombre de critères, tels que : l’adresse IP d’oriine, l’adresse l’adresse IP de destination, le num!ro de port, les protocoles de couc"e sup!rieurs et d’autre paramètres# Les ACl peu$ent %tre cr!!s pour tous les protocoles rout!s (ip, ip&, ')# Il est possible d’appliquer d’appliquer au ma&imum une ACL par interace et par sens (input ou output (par d!aut : out))# Une ACL est anals!e par l’I* de manière s!quentielle# Lorsqu’une ACL contient plusieurs rèles il aut placer les rèles les plus pr!cises en d!but de liste, et donc les plus !n!riques en fn de liste# +!s qu’une rèle correspond au trafc, l’action d!fnie est appliqu!e, le reste de l’ACL n’est pas anals!# *i un paquet ne correspond aucune instruction dans l’ACL, le paquet est -et!# Ceci est le r!sultat de l’instruction implicite .den an’ la fn da c"aque ACL# /emarque : les ACL ser$ent !alement identi fer un trafc afn d’%tre trait! par un processus, dans ce cas le trafc correspondant un .permit’ est trait!, et celui correspondant un .den’ est inor!# ACL (numérique/nommée) (numérique/nommée)
Standard •
Etendues
Adresse IP source
Adresse IP source Adresse IP destination Protocole (tcp, udp, icmp, ') Port source Port destination 0tc# Le plus proc"e possible de la source
• •
Permet d’analyser du trafc en onction de
• • • •
Sont ! a""liquer ACL Standard numériq $P%& Etendue ue $P%& nommée Standard $P%& Etendue $P%&
Le plus proc"e possible de la destination en raison de leur aible pr!cision
'(conf#) access*list
+*,,-
Création et Conf#uration +action- +$P source-
'(conf#) access*list +..*,,- +action- +"rotocole "rotocole- +$P source- "ort source0 +$P destination- "ort dest0 o"érateur o"érande o"érande00 '(conf#) i" access*list standard +nom'(conf#*std*nacl) +action- +$P source- 1 '(conf#*std*nacl) '(conf#) i" access*list etendue +nom'(conf#*std*nacl) +action- + "rotocole "rotocole- +$P source- "ort source0 +$P destination- "ort destination0 o"érateur o"érande o"érande00
Etendue $P%2
'(conf#) i"%2 access*list +nom'(conf#) +action- +"rotocole- +$P%2 source- "ort source0 destination0 o"érateur o"érande0
+$P%2 destination-
"ort
Action deny "ermit remar3 4escri"t reuse l1accès si la condition est autorise l1accès si la condition est A-oute une remarque propos des instructions ACL respect!e respect!e ion pour plus de lisibilit! Protocole (nom 8cp (9) Udp (;) Ip (sans Ip$9 Icmp () 0c"o /IP, 0I
$"%& Adresse4d4un46ote .7.7.7. ou 6ost adresse4 d1un46ote Adresse4d4un4réseau :ildcard mas3 e&: 3##?#3 3#3#3#566 .7.7.7. 8<<78<<78<<78<< ou Any
$"%2 Adresse4dun46ote/89 e& : 533::5::6=5> Adresse4d4un4réseau/2& e& : 533::5:: =9@ any
="érateur
lt
eq
com"are les "orts de dest ou de source
In!rieur (less t"an)
!al (equal)
#t *up!rieur (reater t"an)
neq
ran#e
+i!rent de (not equal)
="érande : le nom du ser$ice de couc"e application ou leur num!ro (+B*, "ttp, "ttp, 56, 5,##) A""liquer une ACL sur une interace sur les li#nes @B . &
Pour tout les ty"es d’ACLs i"%& '(conf#*i) i" access*#rou" +;>/nom- +in/out'(conf#*line) no0 access*class +;>/;om- $;
odifcation d’une ACL Standard / s"oD access4list Enom=BFG /(conf) ip access4list standard Enom=BFG Pour *upprimer la rèle portant un num!ro de s!quence n# '(conf#*std*nacl) no +n> de séquencePour a-outer une rèle a$ec le un num!ro de s!quence n# '(conf#*std*nacl) +n> de séquence- +action- +i" sourcey"e d5ACL su""rimer
(numérique/nommée) Standard (i"%&) '(conf#) no access* list +;>-
Pour l’ACL i"%2 '(conf#*i) i"%2 tra?c*flter +;om+in/out'(conf#*line) no0 access*class ;om $;
odifcation d’une ACL Etendue (i"%&/i"%2) / s"oD access4list Enom=nFG /(conf) ip access4list e&tanded Enom=BFG Pour *upprimer la rèle portant un num!ro de s!quence n# '(conf#*std*nacl) no +n> de séquencePour a-outer une rèle a$ec le un num!ro de s!quence n# '(conf#*std*nacl) +n> de séquence- +action- +i" source1
(numérique/nommée) étendue (i"%&) '(conf#) no i" access*list standard/etendue +;om-
@erifcation @érifcation des ACLs @érifcation d’une ACL "récise (Pour sa$oir le num!ro de s!quence (qui est au d!but de c"aque line de c"aque rèle) @érifcation de l’ACL a""liquée sur une interace "récise (out#oin# a""liquée en sortie) @érifer le onctionnement d’une ACL ("our sa%oir la nomDre de ois ou c6aque rè#le de l’ACL a été a""liquée)
;ommée étendue (i"%2) '(conf#) no i"%2 access* list +;om-
'
Pour tout les ty"es d’ACLs i"%& / i"%2 s6o: access*lists
'
s6o: access list +numéro/nom-
' s6o: i" interace +ty"e d’interace- +;> de l’interace'
s6o: access*lists :or3in#ACL