ACL Wildcard Masking: Une ACL qui signifie : Access Control List est une fonctionnalité de l’IOS Cisco utilisée pour identifier le trafic. L'ACL permet à un administrateur de créer un ensemble de règles qui permette d’autoriser ou d’interdire n’importe quel type de trafic en fonction des informations contenues dans le paquet IP.
Les ACL’s peuvent être utilisés sur des routeurs ou des switchs.
L’ACL fonctionne dans un ordre séquentiel logique. L’en-tête du paquet, est analyser par les ACL, l’une à la suite de l’autre, de haut en bas. Si une instruction ACL correspond au paquet, alors le reste des ACL sera ignoré. Le paquet est alors autorisé ou refusé, comme on le voit sur la diapo. Si l’en-tête du paquet ne correspond pas à l’instruction ACL,alors le paquet est testé à la seconde instruction et ainsi de suite. Ce processus se poursuit jusqu'à la dernière ACL
La dernière ACL de la liste, est-ce qu’on appelle une acl implicite de deny qui refuse systématiquement le paquet. Si aucune des ACL ne matche avec l’entête IP, alors le paquet entier sera détruit.
Pour utiliser certains protocoles ou fonctionnalités des routeurs, on fait parfois appel aux « wildcard masks », qui signifie : masques inverses. Il permet d’identifier un sous-réseau ou un range d’adresses IP. C’est comme pour le protocole de routage OSPF et aussi pour le NAT, ils utilisent des masques inversés.
Les Wildcard mask, servent à identifier les adresses qui correspondent ou non à certains critères (en principe pour un range d’adresse IP). Leur particularité réside dans la manière dont ils sont appliqués.
Prenons un exemple:
un réseau 193.62.31.64 avec un wildcard mask à 0.0.0.63 (ce qui correspond à un /26). D’un côté vous avez le format décimal et de l’autre le format binaire.
chaque bit de l’adresse qui correspond à un bit à 0 dans le masque devra être identique pour correspondre au réseau. Dans le cas présent, seuls les 6 derniers bits de l’adresse peuvent varier. Toutes les adresses qui commenceront par ces binaires feront donc partie du range. C’est-à-dire en décimal de 193.62.31.64 à .127
Pour calculer rapidement le masque inversé d’un sous réseau le plus simple est de faire une simple soustraction comme représentée sur la diapo:
Si on prend 4 fois 255 et qu’on soustrait à un masque de sous réseau normal, cela nous donne le masque inversé. 255 moins 255 donne 0. 255 moins 192 donne 63. Et 255 moins 0 donne 255.
Il existe deux principaux types d' ACL :
Les ACL standards se configurent sur un routeur Cisco en mode de configuration globale. La commande « access-list » permet de crée une entrée ACL
La sortie de la commande show access-list affiche les ACL actuellement configurées.
Utilisez de nouveau la commande show access-list permet de confirmer que l’ ACL « une » a bien été supprimée. Une ACL pouvant contenir plusieurs lignes, il n’est pas possible de supprimer une ligne individuellement… Le no access-list avec son numéro supprime tout le contenu de l’ACL . La seule manière d'enlever ou de modifier une ACL serait de copier l'ACL totale dans un éditeur de texte, de faire les changements nécessaires ensuite supprimer l'ACL du routeur avec la commande no access-list et de copier / coller l'ACL modifiée à partir de l'éditeur de texte. Les nouvelles versions de l’IOS permettent une édition plus simple en utilisant une numérotation séquentielle.
La nécessité d'implémenter un filtrage du trafic réseau pour limiter ou restreindre l'accès sur une ressource réseau est une tâche commune pour les administrateurs réseau. L’ACL permet de contrôler l' accès en fonction des informations d'entêtes de paquets de la couche 3.
Ici, nous souhaitons restreindre l’accès internet au PC2.
Pour cela, il est possible d’implémenter le filtrage du trafic sur le routeur soit en entrée sur l’interface qui est connectée au réseau local ou soit en sortie sur l’interface connectée à Internet. En utilisant une ACL standard, il est possible d’empêcher les paquets de PC2 d'entrer ou de sortir du routeur. Il ne faudra pas oublier d'autoriser explicitement le trafic des autres périphériques du réseau local, car nous voulons appliquer cette règle uniquement au PC1.
Sur cette image, l’ACL est placé sur l’interface de sortie.
On voit le paquet arrivé sur l’interface entrante nommé E0, puis il est traité par le routeur.
Comme il reconnait le réseau, il effectue le routage vers son interface de sortie. C’est là que l’ACL entre en jeu. Si c’est accordé le paquet sortira par l’interface S0, et s’il n’est pas autorisé, il sera supprimé.
Afin d’éviter que le routeur applique le routage pour des paquets qui seront au final supprimés, il est plus judicieux de placer l’ACL en entrée, plutôt qu’en sorti.
Après avoir configuré une ACL , il faut l’appliquer à une interface à l'aide de la commande IP access-group . Une seule ACL n’est autorisée par protocole, par direction et par interface
IP access-group 1 out , applique L’ACL 1 sur l'interface en sortie:
IP access-group 2 out applique L’ACL 2 sur l'interface en entrée :
Pour supprimer une ACL d'une interface, il faut utiliser la même commande avec le « no », directement sur l'interface, puis si on veut la supprimer complètement , il faut compléter la commande par un no access-list dans le mode de configuration globale.
Branch(config-if)# IP access-group 1 in
dans l’exemple, l’ACL est positionné en entrée de l’interface.
prenons un exemple, nous souhaitons refuser l’accès à internet pour l’hôte PC2 qui porte l’IP 10.1.1.101 tout en autorisant les autres PC de ce même LAN.
comme la lecture d’une ACL se fait de haut en bas, nous allons créer la première entrée en refusant le PC2 et la seconde en autorisant tout le LAN 10.1.1.0/24
Il est important de spécifier une ligne qui autorise tout le reste du réseau, car implicitement pour des raisons de sécurité, la dernière entrée refuse tout passage. En gros si aucune entrée n’est matchée, le paquet est supprimé.
Vous remarquerez que l’ACL a été placé en sortie du routeur. On aurait pu également la positionner directement sur l’entrée GI0/0. Cela empêcherait toujours la communication de PC2 avec Internet, mais également toute communication avec le routeur.
Au lieu de déclarer l’ACL standard par un numéro compris entre 1 à 99 et 1300 à 1999, il est possible de lui affecter un nom. Cela permet d’avoir une description sur la fonction de l’ACL. Très utile quand on en a plusieurs.
Dans le mode de configuration global, la commande IP access-list standard + le nom, permet de déclarer une ACL nommée.
le nom qu’on attribue à l’ACL (ici Subnet_ONLY) doit être unique.
Ainsi, l’avantage des ACL nommées est qu’il est possible de supprimer ou modifier une ligne sans devoir supprimer l’ACL en entier.
pour rattaché une ACL nommée sur une interface, il s’agit de la même commande sauf qu’a la place du numéro on met le nom.
nommer une ACL permet de mieux comprendre sa fonction. Par exemple, une ACL qui refuse un sous-réseau peut être appelée "NO_Subnet".
le résultat de la commande « show access-lists » affiche directement les commandes qui ont été utilisées pour configurer L’ACL standard qui est nommée Subnet_ONLY sur le routeur Branch. L'ACL permet le trafic des hôtes sur le sous-réseau 10.1.1.0/24.
Admettons que nous souhaitons maintenant, refuser l’accès uniquement à l’hôte 10.1.1.25 comme les ACL nommées permettent cette fois-ci d’ajouter, de modifier ou de supprimer des entrées individuelles dans une ACL spécifique.
Il est alors possible d’utiliser des numéros de séquence pour insérer une instruction ou l’on souhaite dans l’ACL.
Par défaut la première entrée de l’ACL a été nommé 10. Dans l’exemple on insère une entrée qu’on nomme 5 pour interdire le PC 10.1.1.25. On s’aperçoit bien que l’insertion de cette entrée s’est faite au-dessus de la première instruction qui a été rentrée.
Si un redémarrage de l’équipement a lieu, automatiquement les numéros de séquence se mettront à jours, et suivront leurs incrémentations de base par 10.
Ce qui veut dire que le deny host portera le chiffre 10 et le permit aura le chiffre 20.
la commande access-list resequence permet la mise à jour de ces séquences sans faire de redémarrage.
Retrouver de nombreuses vidéos de cours sur la chaine Youtube Formip
Suivez le parcours CCNA sur le site Formip
Visitez notre Politique de Confidentialité
Prenez connaissance de notre Charte de Qualité |
CGU | CGV | Engagement de non-responsabilité
Vous avez une réclamation à nous soumettre ? => Remplissez le formulaire
Vos informations sont 100% sécurisées, nous nous engageons à ne pas les revendre.
Siège social : 34 rue Pasteur, 39110 Salins-les-bains.
SIRET. 890 495 294 00013 ⎜Numero DATA DOCK:0085 282 ⎜Déclaration d’activité enregistré auprès du préfet de region Bourgogne-Franche-Comté sous le numéro : 27390126739
© Copyright 2017 - Formip par Damien.S