cours acl ipv4 et ipv6
TRANSCRIPT
El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications
ACL (Access Control List)
Introduction
Une liste de contrôle d'accès est un ensemble séquentiel d'instructions d'autorisation ou de refus qui s'appliquent aux adresses ou aux protocoles de couche supérieure. Les listes de contrôle d'accès représentent un outil puissant pour contrôler le trafic entrant ou sortant d'un réseau. Des listes de contrôle d'accès peuvent être configurées pour tous les protocoles réseau routés.
I) Objectif des listes de contrôle d'accès
Qu'est-ce qu'une liste de contrôle d'accès ?
Une liste de contrôle d'accès (ou ACL) est une série de commandes IOS qui déterminent si un routeur achemine ou abandonne les paquets en fonction des informations contenues dans l'en-tête depaquet. Les listes de contrôle d'accès font partie des fonctionnalités les plus utilisées du logiciel Cisco IOS.
Une fois configurées, les listes de contrôle d'accès assurent les tâches suivantes
• Elles limitent le trafic réseau pour accroître les performances réseau. Ainsi, la charge réseau est nettement réduite et les performances réseau sont sensiblement améliorées.
• Elles contrôlent le flux de trafic. Les listes de contrôle d'accès peuvent limiter l'arrivée des mises à jour de routage.
• Elles fournissent un niveau de sécurité de base pour l'accès réseau. • Elles filtrent le trafic en fonction de son type. • Elles filtrent les hôtes pour autoriser ou refuser l'accès aux services sur le réseau.
Filtrage des paquets
Le filtrage des paquets, parfois appelé filtrage statique des paquets, contrôle l'accès à un réseau en analysant les paquets entrants et sortants et en les transmettant ou en rejetant selon des critères spécifiques, tels que l'adresse IP source, les adresses IP de destination et le protocole transporté dansle paquet.
ACL (Access Control List) Page 1
El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications
• Un routeur filtre les paquets lors de leur transmission ou de leur refus conformément aux règles de filtrage.
• Un routeur de filtrage de paquets utilise des règles pour déterminer s'il doit autoriser ou refuser le trafic. Un routeur peut également effectuer le filtrage des paquets au niveau de la couche 4, la couche transport.
Une liste de contrôle d'accès est un ensemble séquentiel d'instructions d'autorisation ou de refus, appelées entrées de contrôle d'accès (ACE). Les ACE sont couramment appelées des instructions deliste de contrôle d'accès. Des ACE peuvent être créés pour filtrer le trafic en fonction de critères telsque l'adresse source, l'adresse de destination, le protocole et les numéros de port.
Exemple de filtrage des paquets
Pour comprendre comment un routeur utilise le filtrage des paquets, imaginez qu'un gardien a été placé devant une porte verrouillée. Le gardien a reçu pour instruction de ne laisser passer que les personnes dont les noms figurent sur une liste. Il filtre le passage des personnes conformément à la liste des noms autorisés. Les listes de contrôle d'accès fonctionnent de la même façon et prennent des décisions en fonction de critères définis.
Par exemple, une liste de contrôle d'accès peut être configurée pour « autoriser l'accès Web aux utilisateurs du réseau A, mais leur refuser l'accès à tous les autres services. Refuser l'accès HTTP aux utilisateurs du réseau B, mais leur autoriser tous les autres accès. »
ACL (Access Control List) Page 2
El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications
Fonctionnement des listes de contrôle d'accès
Les listes de contrôle d'accès définissent des règles de contrôle pour les paquets arrivant par les interfaces d'entrée, passant par le routeur et atteignant leur destination par les interfaces de sortie.
Les listes de contrôle d'accès sont configurées pour s'appliquer au trafic entrant ou sortant comme lemontre la figure ci-dessous.
II) Les Types des ACLs
Il existe deux types de listes de contrôle d'accès IPv4 Cisco : les listes standard et les listes étendues.
Remarque : les listes de contrôle d'accès IPv6 Cisco sont similaires aux listes de contrôle d'accès étendues Ipv4.
Listes de contrôle d'accès standard
Les listes de contrôle d'accès standard peuvent être utilisées pour autoriser ou refuser le trafic uniquement depuis des adresses IPv4 source. La destination du paquet et les ports concernés ne sont pas évalués
Listes de contrôle d'accès étendues
Les listes de contrôle d'accès étendues filtrent les paquets IPv4 en fonction de différents critères :
•Type de protocole
•Adresse IPv4 source
•Adresse IPv4 de destination
•Ports TCP ou UDP source
•Ports TCP ou UDP de destination
•Informations facultatives sur le type de protocole pour un contrôle plus précis
ACL (Access Control List) Page 3
El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications
Numérotation et attribution d'un nom aux listes de contrôle d'accès
Les listes de contrôle d'accès standard et étendues et leur liste d'instructions peuvent être identifiées par un numéro ou par un nom.
Directives concernant la création des listes de contrôle d'accès
L'écriture des listes de contrôle d'accès peut être une tâche complexe. Pour chaque interface, plusieurs stratégies peuvent être nécessaires pour gérer le type de trafic autorisé à entrer dans cette interface ou en sortir.
Pour retenir la règle générale d'application des listes de contrôle d'accès, il suffit de se souvenir des trois P. Vous pouvez configurer une liste de contrôle d'accès par protocole, par direction et par interface :
•Une liste de contrôle d'accès par protocole : pour contrôler le flux du trafic sur une interface, définissez une liste de contrôle d'accès pour chaque protocole activé sur l'interface.
•Une liste de contrôle d'accès par direction : les listes de contrôle d'accès contrôlent le trafic dans une seule direction à la fois sur une interface. Vous devez créer deux listes de contrôle d'accès ; la première pour contrôler le trafic entrant et la seconde pour contrôler le trafic sortant.
•Une liste de contrôle d'accès par interface : les listes de contrôle d'accès contrôlent le trafic dans une seule interface, par exemple, Gigabit Ethernet 0/0.
ACL (Access Control List) Page 4
El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications
Positionnement des listes de contrôle d'accès
Le positionnement approprié d'une liste de contrôle d'accès peut optimiser l'efficacité du réseau. Une liste de contrôle d'accès peut être placée de sorte à réduire le trafic superflu. Chaque liste de contrôle d'accès doit être placée là où elle aura le plus grand impact sur les performances.
Listes de contrôle d'accès étendues : placez les listes de contrôle d'accès étendues le plus près possible de la source du trafic à filtrer.
Listes de contrôle d'accès standard : étant donné que les listes de contrôle d'accès standard ne précisent pas les adresses de destination, placez-les le plus près possible de la destination.
III) ACL Standard
Configuration d'une liste de contrôle d'accès standard
Pour utiliser des listes de contrôle d'accès standard numérotées sur un routeur Cisco, vous devez d'abord créer la liste de contrôle d'accès standard, puis l'activer sur une interface.
• La commande de configuration globale access-list définit une liste de contrôle d'accès standard associée à un numéro compris entre 1 et 99.
• La version 12.0.1 du logiciel Cisco IOS a élargi cette plage de numéros et permet d'attribuer les numéros 1 300 à 1 999 aux listes de contrôle d'accès standard.
• La syntaxe complète de la commande des listes de contrôle d'accès standard est la suivante :
Router(config)# access-listaccess-list-number { deny |permit | remark } source [source-wildcard ][ log ]
Pour mieux comprendre l’intérêt de chaque commande de l'ACL standard, le tableau ci-dessous donne une explication suffisante pour comprendre chaque partie de la syntaxe d'ACL standard.
ACL (Access Control List) Page 5
El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications
Exemple 1 ACL STANDARD :
Exemple 2 ACL STANDARD :
Application de listes de contrôle d'accès standard aux interfaces
Une fois qu'une liste de contrôle d'accès standard est configurée, elle est associée à une interface à l'aide de la commande ip access-group en mode de configuration d'interface:
Router(config-if)# ip access-group { access-list-number |access-list-name } { in | out }
ACL (Access Control List) Page 6
El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications
Pour supprimer une liste de contrôle d'accès IP d'une interface, entrez d'abord la commande no ip access-group sur l'interface, puis la commande globale no access-list pour supprimer l'ensemble dela liste.
Création de listes de contrôle d'accès standard nommées
Si vous attribuez un nom à une liste de contrôle d'accès, il vous sera plus facile d'en comprendre la fonction. Par exemple, vous pouvez nommer NO_FTP une liste de contrôle d'accès refusant le traficFTP.
Étape 1. À partir du mode de configuration globale, utilisez la commande ip access-list pour créer une liste de contrôle d'accès nommée.
Étape 2. En mode de configuration des listes de contrôle d'accès nommées, utilisez les instructions permit (autoriser) ou deny (refuser) pour spécifier une ou plusieurs conditions déterminant si un paquet est transféré ou abandonné.
Étape 3. Appliquez la liste de contrôle d'accès à une interface à l'aide de la commande ip access-group. Indiquez si la liste de contrôle d'accès doit être appliquée aux paquets lorsqu'ils entrent dans l'interface (in) ou lorsqu'ils quittent l'interface (out).
Commentaires sur les listes de contrôle d'accès
Vous pouvez utiliser le mot-clé remark pour intégrer des commentaires (remarques) sur les entrées dans n'importe quelle liste de contrôle d'accès IP standard ou étendue. Ces remarques facilitent la compréhension et la recherche des listes de contrôle d'accès. Chaque ligne de remarque est limitée à100 caractères.
ACL (Access Control List) Page 7
El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications
ACL (Access Control List) Page 8
El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications
IV) ACL étendue
Des listes de contrôle d'accès IPv4 étendues peuvent être créées pour permettre un contrôle plus précis du filtrage du trafic. Les listes de contrôle d'accès étendues sont numérotées de 100 à 199 et de 2 000 à 2 699 ce qui offre un total de 799 numéros de listes de contrôle d'accès étendues disponibles. Vous pouvez également attribuer un nom aux listes de contrôle d'accès étendues.
Avec les listes des contrôles d'accèes étendues vous aurez la possibilité de filtrer en fonction des protocoles et des numéros de port permet aux administrateurs réseau de créer des listes de contrôle d'accès étendues très précises. Une application peut être spécifiée soit par le numéro de port soit parle nom d'un port réservé.
Configuration d'une liste de contrôle étendue
Les procédures de configuration des listes de contrôle d'accès étendues sont les mêmes que pour les listes de contrôle d'accès standard. La liste de contrôle d'accès étendue est d'abord configurée, puis elle est activée sur une interface. La syntaxe et les paramètres de commande sont plus complexes car ils prennent en charge des fonctions supplémentaires fournies par les listes de contrôle d'accès étendues.
La Figure ci-dessous illustre la syntaxe de commande courante pour les listes de contrôle d'accès étendues IPv4. Notez qu'il existe de nombreux mots-clés et paramètres pour les listes de contrôle d'accès étendues. Il n'est pas nécessaire de tous les utiliser lors de la configuration d'une liste de contrôle d'accès étendue.
ACL (Access Control List) Page 9
El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications
Création de listes de contrôle d'accès étendues nommées
ACL étendues nommées est similaire à la création des listes de contrôle d'accès standard nommées. Procédez comme suit pour créer une liste de contrôle d'accès étendue identifiée par un nom :
Étape 1. En mode de configuration globale, utilisez la commande ip access-list extended name pour définir le nom de la liste de contrôle d'accès étendue.
Étape 2. En mode de configuration de la liste de contrôle d'accès nommée, spécifiez les conditions permit ou deny.
Étape 3. Repassez en mode d'exécution privilégié et vérifiez la liste à l'aide de la commande show access-lists name.
ACL (Access Control List) Page 10
El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications
Exemple ACL nommées :
Pour supprimer une liste de contrôle d'accès étendue nommée, utilisez la commande de configuration globale no ip access-list extended name.
Modification des listes de contrôle d'accès étendues
Une liste de contrôle d'accès étendue peut être modifiée comme suit :
•1re méthode, l'éditeur de texte : cette méthode consiste à copier la liste de contrôle d'accèset à la coller dans l'éditeur de texte pour la modifier. Il faut ensuite supprimer la liste d'accès actuelle à l'aide de la commande no access-list. Une fois modifiée, elle est à nouveau collée dans la configuration.
•2e méthode, les numéros d'ordre : les numéros d'ordre permettent de supprimer ou d'insérer une instruction de liste de contrôle d'accès. Exécutez la commande ip access-list extended name pour passer en mode de configuration de liste de contrôle d'accès nommée. Si la liste d'accès est numérotée plutôt que nommée.
Rejoignez-nous dans notre groupe sur Facebook
[ https://www.facebook.com/groups/RESEAUX2INFORMATIQUES2TELECOM/ ]
ACL (Access Control List) Page 11
El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications
ACL IPv6(Access Control List)
Introduction
Les listes de contrôle d'accès IPv6 sont très semblables aux listes de contrôle d'accès IPv4, tant dansleur fonctionnement que dans leur configuration. Si vous connaissez déjà les listes d'accès IPv4, vous n'aurez aucun mal à comprendre et à utiliser les listes IPv6.
Il existe deux types de listes de contrôle d'accès IPv4, les listes de contrôle d'accès standard et étendues. Ces deux types de liste peuvent être numérotés ou nommés.
En revanche, il n'existe qu'un seul type de liste de contrôle d'accès IPv6 et il correspond à une liste de contrôle d'accès étendue IPv4 nommée. Les listes de contrôle d'accès IPv6 numérotées n'existent pas.
Comparaison des listes de contrôle d'accès IPv4 et Ipv6
Bien que les adresses IPv4 et IPv6 liste sont très similaires, il existe trois différences entre eux.
Application d'une liste de contrôle d'accès Ipv6: IPv6 utilise la commande ipv6 traffic-filter pour effectuer la même tâche sur les interfaces IPv6.
Aucun masque générique : les listes de contrôle d'accès IPv6 n'utilisent pas de masques génériques
Instructions supplémentaires par défaut : la dernière différence majeure concerne l'ajout de deux instructions d'autorisation implicites à la fin de chaque liste de contrôle d'accès IPv6
ACL (Access Control List) Page 1
El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications
Configuration des listes de contrôle d'accès IPv6
Il existe uniquement des listes de contrôle d'accès IPv6 nommées. Leur configuration est similaire àcelle d'une liste de contrôle d'accès étendue IPv4 nommée.
Il existe trois étapes de base pour configurer une liste de contrôle d'accès IPv6 :
Étape 1. En mode de configuration globale, utilisez la commande name ipv6 access-list pour créer une liste de contrôle d'accès IPv6.
Remarque : les noms des listes de contrôle d'accès IPv6 sont alphanumériques, sensibles à la casse et doivent être uniques.
Étape 2. En mode de configuration des listes de contrôle d'accès nommées, utilisez les instructions permit ou deny pour spécifier une ou plusieurs conditions pour déterminer si un paquetest transféré ou abandonné.
La figure ci-dessous illustre la syntaxe de commande pour les listes de contrôle d'accès IPv6.
Exemple de la configuration ACL IPv6
La Figure ci-dessus présente la procédure à suivre pour créer une liste de contrôle d'accès IPv6 à l'aide d'un exemple simple basé sur la topologie précédente. La première instruction nomme la liste
ACL (Access Control List) Page 2
El Hassan EL AMRI || Campus des Réseaux Informatiques et Télécommunications
d'accès IPv6 NO-R3-LAN-ACCESS. Comme dans le cas d'IPv4, vous n'êtes pas obligé d'écrire les noms des listes de contrôle d'accès en majuscule, mais cela permet de les repérer plus facilement dans le résultat de la commande running-config.
Application d'une liste de contrôle d'accès IPv6 à une interface
Une fois que la liste de contrôle d'accès IPv6 est configurée, elle est associée à une interface à l'aidede la commande ipv6 traffic-filter :
Router(config-if)# ipv6 traffic-filter access-list-name { in |out }
Pour supprimer une liste de contrôle d'accès d'une interface, saisissez d'abord la commande no ipv6 traffic-filter sur l'interface, puis la commande globale no ipv6 access-list.
Remarque : la commande access-classest utilisée à la fois par IPv4 et IPv6 pour appliquer une listed'accès aux ports VTY.
Vérification des listes de contrôle d'accès IPv6
Les commandes utilisées pour vérifier une liste d'accès IPv6 sont similaires à celles utilisées pour les listes de contrôle d'accès IPv4.
la commandeshow access-lists affiche toutes les listes de contrôle d'accès sur le routeur (IPv4 et IPv6). Notez que pour les listes de contrôle d'accès IPv6, les numéros d'ordre figurent à la fin de l'instruction et non au début comme pour les listes d'accès IPv4.
Exemple de vérification de contrôle d'accès IPv6
Rejoignez-nous dans notre groupe sur Facebook
[ https://www.facebook.com/groups/RESEAUX2INFORMATIQUES2TELECOM/ ]
ACL (Access Control List) Page 3