+ de 700 vidéos sur le CCNA
  • N°1 de la certification Cisco Francophone
  • + de 8000 abonnés
  • + de 400 000 vidéos vues

Configuration d’une liste d’accès (ACL Etendue)

ACL Etendue: Nous allons voir les différentes commandes pour configurer des ACL’s Standard et des ACL’s étendues.

Aussi bien au format numérique qu’au format nommé !

|Pour une ACL standard au format numérique, on utilisera la commande « access-list » pour entrée nos ACL une par une !

Dans l’exemple on choisit l’access list 1 et on lui déclare 3 lignes :

  • La première autorise tout le réseau 192.168.1.0 avec un masque en /24 c’est-à-dire de la 1.0 à la 1.255.
  • La seconde refuse tout le réseau de la 1.0 à la 3.255 !
  • Et la dernière autorise tout le reste !

En gros, cela signifie que tout le réseau |192.168.0.0/22 est bloqué à l’exception du réseau| 192.168.1.0/24.

S’il n’avait pas eu la| troisième ACL , alors le reste du trafic aurait été |bloquer par la règle par défaut « deny any any »

|Pour une ACL nommée, le principe est le même, sauf qu’on nomme l’ACL avec la commande « ip access-list standard » ici elle s’appellera « Mon ACL ».

Vous remarquerez qu’on est plus en mode « config » mais dans celui de notre ACL.

Ensuite, il reste plus qu’à insérer nos ACL dedans !

|La commande « show access-lists » permet de vérifier nos ACL.


On voit bien notre ACL numérique en numéro « 1 » et celle qui porte le nom de « MonACL ».

Chaque ACL porte un identifiant qui s’incrémente en 10.

C’est tout simplement pour pouvoir ajouter d’autre ACL entre-deux.

Car une Access list est lue de haut en bas.

Passons maintenant au ACL étendu.
|Une ACL étendue, à un format un peux plus complexe qu’une ACL standard.


Dans le champ | « Action » il ne peut y avoir que « permit » ou « deny »,

|Le champ protocole, permet de spécifier un protocole qu’on voudrait autorisé ou interdire.

Et les champs de |l’IP source ou destinations comporte soit l’adresse + le masque, ou bien l’host, suivi de son IP.

Dans ce dernier, ce sera qu’une seul IP qui sera ciblé.

Ou bien avec le mot « Any » qui signifie : n’importe quelle source ou destination !

|Voici maintenant un exemple de configuration d’une ACL étendue, numérique et nommée !

Le principe reste le même.

Dans cet exemple, notre première ACL, autorise le trafic TCP sur le port 80, de toutes les sources vers l’hôte 192.168.1.2, qui est probablement un serveur Web !

Et la seconde ACL autorise le réseau qui va de 192.168.0.0 à .255, à envoyer des requêtes ICMP vers l’hôte 192.168.1.2 !

Par exemple pour faire du ping

|Tout le reste sera refusé avec la règle deny any any par défaut !

|Pour vérifier les ACL étendus, la commande est la même que pour une ACL standard. « show access-lists »

|Maintenant qu’on a créé nos ACL, il faut l’appliquer à une interface.

  • Soit en sortit
  • ou soit en entrée.

|Les ACLs standard sont à appliquer le plus proche possible de la destination, en raison de leur faible précision.

|Et Les ACLs étendues sont à appliquer le plus proche possible de la source. Pour éviter que le routeur route des données inutiles, qui seront de toute façon supprimées.

|La commande « ip access-group » permet d’appliquer une ACL sur une interface.

Ici on choisi d’appliquer l’ACL N°1 sur l’interface 0/0 en entrée et l’ACL étendue numéro 100 sur l’interface 0/1 en sortie !

|Si on lance un « show ip interface » sur la 0/0, on peut voir que l’ACL 1 est appliqué en entrée, et la 100 est appliquée en sortie.

|Si on souhaite désactiver une ACL sur une interface, il suffit de la supprimé avec un « no » devant la commande

|Il est aussi possible d’appliquer une ACL directement sur des lignes virtuelles, avec la commande « access-class » pour autoriser un administrateur à se connecter sur un routeur.

Dans ce cas l’ACL sera à appliquer en entrée

Voyons maintenant comment modifier une ACL.

|Nous avons notre ACL 1, qui autorise le réseau 192.168.1.0.
On souhaiterait que ce soit plutôt le réseau en 2.0.

|Dans ce cas, on supprime d’abord l’ACL qui porte le numéro de séquence « 10 » et on ajoute notre règle avec le numéro de séquence «15 » !

|Si on refait un « show access-lists », on peut voir que la modification a bien été prise en compte !

|Et pour finir, si on souhaite supprimer une acl nommée, on utilisera la commande « no access-list » avec le type d’acl et le nom qu’il porte.

Et pour une ACL numérotée, ce sera « no access-list » + le numéro de l’Access List !