Configuration d’une liste d’accès (ACL Etendue)

ACL Etendue: Nous allons voir les différentes commandes pour configurer des ACL’s Standard et des ACL’s étendues.

Devenir un Expert IT

Le guide ultime pour les personnes en reconversion et celles qui veulent monter en compétences

Recevoir la version digitale gratuitement

Aussi bien au format numérique qu’au format nommé !

|Pour une ACL standard au format numérique, on utilisera la commande « access-list » pour entrée nos ACL une par une !

Dans l’exemple on choisit l’access list 1 et on lui déclare 3 lignes :

  • La première autorise tout le réseau 192.168.1.0 avec un masque en /24 c’est-à-dire de la 1.0 à la 1.255.
  • La seconde refuse tout le réseau de la 1.0 à la 3.255 !
  • Et la dernière autorise tout le reste !

En gros, cela signifie que tout le réseau |192.168.0.0/22 est bloqué à l’exception du réseau| 192.168.1.0/24.

S’il n’avait pas eu la| troisième ACL , alors le reste du trafic aurait été |bloquer par la règle par défaut « deny any any »

|Pour une ACL nommée, le principe est le même, sauf qu’on nomme l’ACL avec la commande « ip access-list standard » ici elle s’appellera « Mon ACL ».

Vous remarquerez qu’on est plus en mode « config » mais dans celui de notre ACL.

Ensuite, il reste plus qu’à insérer nos ACL dedans !

|La commande « show access-lists » permet de vérifier nos ACL.


On voit bien notre ACL numérique en numéro « 1 » et celle qui porte le nom de « MonACL ».

Chaque ACL porte un identifiant qui s’incrémente en 10.

C’est tout simplement pour pouvoir ajouter d’autre ACL entre-deux.

Car une Access list est lue de haut en bas.

Passons maintenant au ACL étendu.
|Une ACL étendue, à un format un peux plus complexe qu’une ACL standard.


Dans le champ | « Action » il ne peut y avoir que « permit » ou « deny »,

|Le champ protocole, permet de spécifier un protocole qu’on voudrait autorisé ou interdire.

Et les champs de |l’IP source ou destinations comporte soit l’adresse + le masque, ou bien l’host, suivi de son IP.

Dans ce dernier, ce sera qu’une seul IP qui sera ciblé.

Ou bien avec le mot « Any » qui signifie : n’importe quelle source ou destination !

|Voici maintenant un exemple de configuration d’une ACL étendue, numérique et nommée !

Le principe reste le même.

Dans cet exemple, notre première ACL, autorise le trafic TCP sur le port 80, de toutes les sources vers l’hôte 192.168.1.2, qui est probablement un serveur Web !

Et la seconde ACL autorise le réseau qui va de 192.168.0.0 à .255, à envoyer des requêtes ICMP vers l’hôte 192.168.1.2 !

Par exemple pour faire du ping

|Tout le reste sera refusé avec la règle deny any any par défaut !

|Pour vérifier les ACL étendus, la commande est la même que pour une ACL standard. « show access-lists »

|Maintenant qu’on a créé nos ACL, il faut l’appliquer à une interface.

  • Soit en sortit
  • ou soit en entrée.

|Les ACLs standard sont à appliquer le plus proche possible de la destination, en raison de leur faible précision.

|Et Les ACLs étendues sont à appliquer le plus proche possible de la source. Pour éviter que le routeur route des données inutiles, qui seront de toute façon supprimées.

|La commande « ip access-group » permet d’appliquer une ACL sur une interface.

Ici on choisi d’appliquer l’ACL N°1 sur l’interface 0/0 en entrée et l’ACL étendue numéro 100 sur l’interface 0/1 en sortie !

|Si on lance un « show ip interface » sur la 0/0, on peut voir que l’ACL 1 est appliqué en entrée, et la 100 est appliquée en sortie.

|Si on souhaite désactiver une ACL sur une interface, il suffit de la supprimé avec un « no » devant la commande

|Il est aussi possible d’appliquer une ACL directement sur des lignes virtuelles, avec la commande « access-class » pour autoriser un administrateur à se connecter sur un routeur.

Dans ce cas l’ACL sera à appliquer en entrée

Voyons maintenant comment modifier une ACL.

|Nous avons notre ACL 1, qui autorise le réseau 192.168.1.0.
On souhaiterait que ce soit plutôt le réseau en 2.0.

|Dans ce cas, on supprime d’abord l’ACL qui porte le numéro de séquence « 10 » et on ajoute notre règle avec le numéro de séquence «15 » !

|Si on refait un « show access-lists », on peut voir que la modification a bien été prise en compte !

|Et pour finir, si on souhaite supprimer une acl nommée, on utilisera la commande « no access-list » avec le type d’acl et le nom qu’il porte.

Et pour une ACL numérotée, ce sera « no access-list » + le numéro de l’Access List !

Continuer vers le cours suivant : CDP

Retrouvez tous nos cours pour réussir votre CCNA sur la chaîne YouTube de Formip.

A lire également

ACL Wildcard Masking – Types d’ACL – access-list

ParDamien Soulages

ACL Wildcard Masking Vue d’ensemble ACL Wildcard Masking: Une ACL qui signifie : Access Control List est une fonctionnalité de l’IOS Cisco utilisée pour identifier le trafic. L’ACL permet à un administrateur de créer un ensemble de règles qui permette d’autoriser ou d’interdire n’importe quel type de trafic en fonction des informations contenues dans le paquet IP. Les…
|

Logiciel IOS et fonction CLI Cisco

ParDamien Soulages

Logiciel IOS: Comme un ordinateur, un switch et un routeur ont aussi besoin d’un système d’exploitation pour fonctionner. Devenir un Expert IT Le guide ultime pour les personnes en reconversion et celles qui veulent monter en compétences Recevoir la version digitale gratuitement C’est le logiciel IOS qui gère la façon dont les différents composants du…

Donner un coup de boost à sa carrière avec le CCNA

ParDamien Soulages

Coup de boost à votre carrière, l’utilisation des nouvelles technologies étant en forte augmentation, les recruteurs sont davantage intéressés par les candidats diplômés et expérimentés, mais également certifiés. Que ce soit en recherche d’emploi ou pour une évolution de poste en interne, améliorer ses compétences et se former au cours de sa vie professionnelle peut…

Peer-to-Peer : Encapsulation et Décapsulation

ParDamien Soulages

Peer-to-Peer: Communication Peer-to-Peer: Dans l’expression communication peer to peer, le mot « Peer » se traduit en français par « Pairs ». Ce terme signifie l’égal d’une personne. Et dans le domaine de l’informatique, ça se traduit par l’égal d’un objet ! En d’autres termes, chaque couche doit pouvoir communiquer avec son égal de l’autre côté. Devenir un Expert IT…
|

Contrôleur WLAN et mode AP

ParDamien Soulages

Comparaison de Contrôleur WLAN Contrôleur WLAN : Dans ce cours nous allons comparer plusieurs architectures différentes de contrôleur WLAN. C’est-à-dire le boitier WLC. Devenir un Expert IT Le guide ultime pour les personnes en reconversion et celles qui veulent monter en compétences Recevoir la version digitale gratuitement Imaginez que vous souhaitez déployer un WLC (Contrôleur…
|

Serveur Syslog

ParDamien Soulages

Serveur Syslog Le protocole d’un serveur Syslog, permet de centraliser les logs de plusieurs équipements réseau. Devenir un Expert IT Le guide ultime pour les personnes en reconversion et celles qui veulent monter en compétences Recevoir la version digitale gratuitement Par défaut, les logs sont stockés directement sur l’équipement. Que ce soit un switch ou…

0 Commentaire

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *