ACL sur les routeurs Cisco

Recommandations Cisco pour les ACL

Les rgles de base suivantes doivent tre respectes lors de la cration et de lapplication des listes daccs :

Une liste daccs par direction et par protocole. Les listes daccs standard doivent tre appliques le plus prs possible de la destination. Les listes daccs tendues doivent tre appliques le plus prs possible de la source. Pour faire rfrence une interface dentre ou de sortie, placez-vous lintrieur du routeur en regardant l'interface en question. Les instructions sont traites dans lordre depuis le dbut de la liste jusqu la fin jusqu ce quune correspondance soit trouve. Si aucune correspondance nest dtecte, le paquet est refus. Il existe un refus implicite deny any la fin de toutes les listes de contrle daccs. Cela napparat pas dans la liste de configuration. Les entres de la liste daccs doivent filtrer les paquets dans lordre, du plus spcifique au plus gnral. Les htes spcifiques doivent tre rejets en premier, tandis que les groupes ou les filtres gnraux viennent en dernier. La condition de correspondance est examine en premier. Lacceptation ou le refus est examin UNIQUEMENT si la condition est vraie. Ne travaillez jamais avec une liste daccs qui est applique de manire active. Utilisez un diteur de texte pour crer des commentaires indiquant la logique, puis ajoutez les instructions correspondantes. Les nouvelles lignes sont toujours ajoutes la fin de la liste de contrle daccs. La commande no access-list x supprime toute la liste. Il nest pas possible dajouter et de supprimer des lignes spcifiques dans des listes daccs numrotes. Une liste daccs IP envoie un message ICMP dhte inaccessible lmetteur du paquet rejet et limine le paquet dans la corbeille prvue cet effet. Soyez particulirement attentif lorsque vous supprimez une liste daccs. Si la liste daccs est applique une interface de production et que vous la supprimez, selon la version de lIOS, une instruction deny any peut tre applique par dfaut linterface et tout le trafic peut tre arrt. Les filtres de sortie ne concernent pas le trafic gnr par le routeur local.

Dernires modifications le 22/04/13

Page 1

ACL sur les routeurs Cisco

Exemples d'ACL simples :

access-list <n> <permit ou deny> host <adr-hte> ou <adresse-rseau> <masque-gnrique>

L'ACL suivante interdit les requtes provenant de l'hte 192.168.0.1

access-list 10 deny host 192.168.0.1

L'ACL suivante interdit les requtes provenant du rseau 192.168.0.0

access-list 10 permit 192.168.0.0 0.0.0.255

On applique l'ACL 10 la sortie de l'interface FastEthernet 0/0

interface f0/0 ip access-group 10 out

Exemples d'ACL tendues :

access-list <n> permit ou deny <ip, icmp, tcp, udp> <ip-source> <gt | lt | eq> <nport> <ip-destination> <gt | lt | eq> <nport> Cette ACL permet aux clients du rseau 192.168.0.0 d'aller visiter le serveur Web :
access-list 101 permit tcp 192.168.0.0 0.0.0.255 gt 1023 host 192.168.1.1 eq 80

Permettre les requtes ICMP du rseau 172.16.0.0 au 172.17.0.0

access-list 101 permit icmp 172.16.0.0 0.0.0.255 172.17.0.0 0.0.0.255

On applique l'ACL 101 l'entr de l'interface FastEthernet 0/0

interface f0/0 ip access-group 101 in

Exemples d'ACL nommes :

ip access-list extended <nom> permit <ip, icmp, tcp, udp> <ip-source> <gt,lt,eq> <nport> <ip-dest> <gt,lt,eq> <nport>

Dernires modifications le 22/04/13

Page 2

ACL sur les routeurs Cisco L'ACL suivante permet aux clients du rseau 192.168.0.0/24 d'aller visiter le serveur Web et DNS :
ip access-list extended monacl permit tcp 192.168.0.0 0.0.0.255 gt 1023 host 192.168.1.1 eq 80 permit udp 192.168.0.0 0.0.0.255 gt 1023 host 192.168.2.1 eq 53

On applique l'ACL monacl l'entr de l'interface FastEthernet 0/0

interface f0/0 ip access-group monacl in

Dernires modifications le 22/04/13

Page 3