Cisco - Les ACL

, par  admin

ACL : Access Control List

Une ACL permet de vérifier le flux traversant un routeur. Elle peut également permettre de restreindre l’accès aux lignes virtuelles (vty). Elle se définie comme une collection séquentielle d’instructions vérifiant des paramètres d’entête (ip, port...) pour aboutir à une refus ou à une autorisation.

Une ACL est configurée en conf globale puis appliquée sur une interface dans pour un sens de trafic. (Attention, une seule ACL par portocole routé et pas sens (IP, AppleTALK...)

Une ACL se décline du plus précis au plus globale puis se termine par un deny any implicite.

Les types d’ACL

Les ACL Standard (de 1 à 99)

Elles vérifient l’IP source uniquement.

Exemple :

Dans cet exemple nous créons une ACL (numéro 1) qui autorise le réseau 192.168.1.0. Il faut saisir le Wilcard et non le masque de sous réseau. (wilcard = 255.255.255.255 - masque de sous réseau, voir article correspondant : Cisco - Le Wilcard).
Nous appliquons ensuite cette ACL à l’interface fa0/0 :

Les ACL étendues (de 100 à 199)

Elles vérifient l’IP source, l’IP de destination, le protocole, les ports (pour les protocoles tcp et udp).
Exemples de ports utilisés fréquemment :

NomProtocoleNuméro port
FTP TCP 20/21
SSH TCP 22
Telnet TCP 23
SMTP TCP 25
DNS TCP/UDP 53
TFTP UDP 69
HTTP TCP 80
POP3 TCP 110
IMAP TCP 143

Opérateurs :

égal eq
non égal neq
supérieur gt
inférieur lt

Exemples :
Le poste 192.168.0.1 a accès sans restriction au réseau 192.168.10.0/24

Les postes de 192.168.0.32 à 192.168.0.47 ont accès au poste 192.168.1.200 en http

Les flux du réseau 192.168.0.0/24 sont bloqués vers le réseau 192.168.1.0/24

Le réseau 192.168.0.0/24 peut accéder à tous les réseaux

Les ACL nommées

Elles sont définies par un nom plutôt que par un numéro, elles peuvent être standard ou étendues.

ACL et connections Telnet et SSH

Autorisation de l’IP 192.168.1.1 uniquement :

Un peu de théorie... Tous les cours théoriques