Les Access Lists (Fonctionnement ACL)
Fonctionnement ACL: Dans un monde parfait où nous pourrions avoir confiance en n’importe qui et/ou personne ne se tromperait, et bien nous n’aurions pas besoin de sécurité.
Mais dans la vraie vie , de mauvaises choses peuvent arriver à notre réseau, c’est pour ça que nous devons le protéger.
Par défaut, tous les paquets IP sur un routeur sont routés, il n’y a pas de restrictions.
Grâce aux access lists, il sera possible d’empêcher certains paquets IP d’entrer ou de quitter nos routeurs !
Les listes d’accès fonctionnent sur la couche réseau, la couche3, et la couche transport, la couche 4.
Une ACL est une liste de règles qui permet de filtrer ou d’autoriser du trafic sur un réseau en fonction de plusieurs critères, par exemple de l’adresse IP, du port, ou même en fonction du protocole !
Elle permet de soit autoriser le trafic, dans ce cas l’ACL commencera par le mot « Permit », ou bien de le bloquer, avec le mot « deny ».
Il est possible d’appliquer au maximum une ACL par interface et par sens, c’est-à-dire soit en entrant ou soit en sortant, avec les mots input et output !
L’ACL est analysée par l’IOS de haut en bas.
Dès qu’une règle matche avec le paquet, il est soit autorisé ou soit supprimé !
Et le reste de l’ACL ne sera pas analysé.
Toute ACL dispose d’une dernière ligne par défaut qui bloque tout le trafic qui n’aurait pas matché avec l’une des ACL’s. !
Par exemple sur ce routeur,| un paquet IP arrive sur l’interface Fa 0/0.
- |Le paquet sera analysé par l’ACL entrante.
- |Si le paquet matche avec une règle Deny, alors il sera supprimé.
- |S’il matche avec une règle permit, alors il pourra passer et le routeur le prendra en charge !
- |Le routeur décide de router ce paquet vers l’interface Fa0/1.
- |Là aussi il y’a une ACL, mais cette fois-ci, elle est placée en sortie !
- |Si le paquet est autorisé alors il continuera son chemin.
- |Sinon il sera supprimé !
Il existe deux types d’ACL :
- |L’ACL Standard qui permet d’analyser le trafic qu’en fonction de l’adresse IP source
- |Et l’ACL étendu qui lui, permet d’analyser le trafic en fonction de plusieurs critères !
|Les ACLs standard sont à appliquer le plus proche possible de la destination, en raison de leur faible précision.
|Et Les ACLs étendues sont à appliquer le plus proche possible de la source.
|Dans la configuration d’une ACL, il est possible de l’identifier par un nombre ou bien par un nom sous la forme d’une chaine de caractères alphanumériques.
Si on souhaite lui attribuer un numéro, alors la commande sera « access-list », et si on souhaite la nommer, alors ce sera « ip access-list » !
Lorsqu’une ACL contient plusieurs règles, il faut placer les règles les plus précises en début de liste, et les plus génériques en fin de liste.
Le plus simple est de créer son ACL dans un éditeur de texte et de la configurer par un copié/coller pour éviter les erreurs…
Retrouvez tous nos cours pour réussir votre CCNA sur la chaîne YouTube de Formip.
