| Index de l'article |
|
ACL
|
|
Page 2
|
|
Page 3
|
|
Page 4
|
Page 2 sur 4 3-
Création des ACL - Généralités
Pour créer une liste de
contrôle d’accès, il faut :
•
Créer la liste de contrôle d'accès en mode de configuration globale.
•
Assigner cette ACL à une interface
Structure générique d’une
ACL : Router(config)#access-list numéro d’ACL {permit|deny}
instructions
a)
Les différents types d’ACL
Il existe 3 types
de liste de contrôle d’accès : les ACLs standards, les ACLs étendues
et les ACLs nommées.
Les ACLs
standards utilisent des spécifications d’adresses simplifiées et autorisent
ou refusent un ensemble de protocole.
Les ACLs
étendues utilisent des spécifications d’adresses plus complexes et autorisent
ou refusent des protocoles précis.
Les ACLs
nommées peuvent être soit standards, soit étendues ; elles n’ont pour
but que de faciliter la compréhension et de connaître la finalité de l’ACL.
b)
Assignation des ACLs aux interfaces
Les listes de contrôle
d'accès sont affectées à une ou plusieurs interfaces et peuvent filtrer du
trafic entrant ou sortant, selon la configuration. Nous verrons plus loin
où placer les ACLs de façon optimale selon le type d’ACL créée.
|
|
Une
seule liste de contrôle d'accès est permise par port, par protocole
et par direction, c’est-à-dire qu’on ne peut pas par exemple définir
deux ACLs sur l’interface E0 pour le trafic IP sortant. Par contre,
on peut définir deux ACLs pour le trafic IP mais, une pour le trafic
entrant et l’autre pour le trafic sortant… |
c)
Numéro des ACLs
Au moment de
configurer les listes de contrôle d'accès il faut identifier chaque liste
de protocole en lui attribuant un numéro unique.
Le numéro
choisi pour identifier une liste de contrôle d'accès doit se trouver à l'intérieur
d'une plage précise, valable pour le protocole.
| Plage |
Protocole |
| 1-99 |
IP
standard |
| 100-199 |
IP
étendue |
| 600-699 |
AppleTalk |
| 800-899 |
IPX
standard |
| 900-999 |
IPX
étendue |
| 1000-1099 |
IPX
Service Advertising Protocol |
Par exemple, si l’on affecte le numéro 30 à une ACL, cela induit le fait que
cette ACL sera de type standard et concernera le trafic IP.
d)
Le masque générique
Un masque générique
est jumelé à une adresse IP. Les chiffres 1 et 0 sont utilisés pour indiquer
la façon de traiter les bits de l'adresse IP correspondante.
0 pour
vérifier et 1 pour ne pas vérifier
Prenons l’exemple suivant :
On veut vérifier (autoriser ou refuser) les sous réseaux 172.30.16.0 à 172.30.31.0
Les deux
premiers octets de l’adresse IP sont identiques
16 en notation
binaire: 0001 0000
31 en notation
binaire: 0001 1111
Les bits
commencent à être différents à partir du 4ème bit de ce 3ème octet.
A partir
de là on met tous les bits à 1
à Le masque
générique est alors 0.0.15.255
|
