Les ACL de Cisco

Nicolas Dewaelenico@nicodewaele.infowww.nicodewaele.info

Les ACL de Cisco

A partir du moment ou vous utilisez les ACL,par défaut tout les paquets sont supprimés !

I- ACL simples

Les ACL simples permettent d'autoriser ou d'interdire de façon absolue l'accès d'un réseau.

Dans le mode configuration :

router(config)# access-list 5 permit 192.168.1.0 0.0.0.255

Structure de la ligne de commande :access-list <1 à 99> : Numéro de l'ACL, ce qui permet de l'appliquer à une interfacepermit | deny : Action : Les paquets seront acceptés ou refusés

DESTINATION<réseau> <masque-générique> | host <hôte> | any : Réseau ou hôte source.

Exemples :Interdire l'accès du réseau 192.168.2.0

router(config)# access-list 5 deny 192.168.2.0 0.0.0.255

Autoriser l'accès de la machine 192.168.0.1router(config)# access-list 5 permit host 192.168.0.1

Autoriser l'accès de n'importe quelle machine :router(config)# access-list 5 permit any

II- Application des ACL simples :

Les ACL simples s'appliquent toujours en sortie d'une interface :

ip access-group <1 – 99> : N° de l'ACL à appliquer sur l'interfacein | out : Cette ACL s'appliquera en entrée (in) ou en sortie de l'interface

Exemple :router(config)# interface serial 0/0router(config-if)# ip access-group 5 out

Ici j'applique toutes les lignes que j'avais identifiées par access-list 5

Dernières modifications le 26/05/08- Page 1 -

Les ACL de Cisco

Nicolas Dewaelenico@nicodewaele.infowww.nicodewaele.info

III- ACL étendues

Dans les ACL étendues nous allons préciser les informations suivantes :● protocole (au choix : ip, icmp, tcp, udp)● ip source● port source● ip destination● port destination

Structure de la ligne de commande :access-list <101 à 199> : Numéro de l'ACL, ce qui permet de l'appliquer à une interfacepermit | deny : Action : Les paquets seront acceptés ou refusés

PROTOCOLEip | icmp | tcp | udp : Protocole de niv 3 ou 4 utilisé

SOURCE<réseau> <masque> | host <hôte> | any : Réseau ou hôte source. Any veut dire tout le mondeeq | gt | lt <1 à 65535> : Si le protocole est TCP ou UDP, numéro de port source

DESTINATION<réseau> <masque> | host <hôte> | any : Réseau ou hôte destination.eq | gt | lt <1 à 65535> : Si le protocole est TCP ou UDP, numéro de port dest.

Exemples :Autoriser les accès du réseau 192.168.0.0 au serveur Web 192.168.2.19

router(config)# access-list 101 permit tcp 192.168.0.0 255.255.255.0gt 1023 host 192.168.2.19 eq 80

Autoriser n'importe qui à accéder au serveur DNS 192.168.1.9router(config)# access-list 101 permit udp any gt 1023 host 192.168.1.9 eq 53

IV- Application des ACL étendues :

Une ACL étendue s'applique toujours en entrée d'une (sous-)interface.

ip access-group <1 – 99> : N° de l'ACL à appliquer sur l'interfacein | out : Cette ACL s'appliquera en entrée (in) ou en sortie de l'interface

Exemple :router(config)# int f0/0router(config-if)# ip access-group 5 in

Ici j'applique toutes les lignes que j'avais identifiées par access-list 5

Dernières modifications le 26/05/08- Page 2 -

Les ACL de Cisco

Nicolas Dewaelenico@nicodewaele.infowww.nicodewaele.info

V- Vérification des ACL :

Pour voir la liste des ACL qui s'appliquent dans votre routeur, vous pouvez utiliser la commande :

router# show access-lists

Si il y a beaucoup d'ACL limitez l'affichage à une seule ACL à la fois, par exemple :router# show access-lists 5

Dernières modifications le 26/05/08- Page 3 -