ACL Résumé de Résumé

ACL (liste de contrle daccs)
Une ACL est une suite dinstructions permettant de filtrer (dautoriser ou de refuser) des paquets entrant ou sortant dune interface du
routeur en fonction dun certain nombre de critres, tels que : ladresse IP dorigine, ladresse IP de destination, le numro de port, les
protocoles de couche suprieurs et dautre paramtres.
Les ACl peuvent tre crs pour tous les protocoles routs (ip, ipx, ).
Il est possible dappliquer au maximum une ACL par interface et par sens (input ou output (par dfaut : out)).
Une ACL est analyse par lIOS de manire squentielle.
Lorsquune ACL contient plusieurs rgles il faut placer les rgles les plus prcises en dbut de liste, et donc les plus gnriques en fin de
liste.
Ds quune rgle correspond au trafic, laction dfinie est applique, le reste de lACL nest pas analys.
Si un paquet ne correspond aucune instruction dans lACL, le paquet est jet. Ceci est le rsultat de linstruction implicite deny any la
fin da chaque ACL.
Remarque : les ACL servent galement identifier un trafic afin dtre trait par un processus, dans ce cas le trafic correspondant un
permit est trait, et celui correspondant un deny est ignor.
ACL
(numrique/nomme)
Standard
Etendues
Adresse IP source
Permet danalyser du
trafic en fonction de :
Sont appliquer
ACL
Standard
numriq IPv4
Etendue
ue
IPv4
nomme Standard
IPv4
Etendue
IPv4
Le plus proche possible de la destination en raison de leur

faible prcision
R1(config)# access-list
{1-99}
Adresse IP source
Adresse IP destination
Protocole (tcp, udp, icmp, )
Port source
Port destination
Etc.
Le plus proche possible de la source
Cration et Configuration
{action} {IP source}
R1(config)# access-list {100-199} {action} {protocole} {IP source} [port source] {IP
destination} [port dest] [oprateur oprande]
R1(config)# ip access-list standard {nom}
R1(config-std-nacl)# {action} {IP source}
R1(config)# ip access-list etendue {nom}
R1(config-std-nacl)# {action} {protocole} {IP source} [port source] {IP destination} [port
destination] [oprateur oprande]
Etendue
IPv6
R1(config)# ipv6 access-list {nom}

R1(config)# {action} {protocole} {IPv6 source}
destination] [oprateur oprande]
[port source]
{IPv6 destination}
[port
Action
deny
permit
remark
Descript refuse l'accs si la condition est
autorise l'accs si la condition est
Ajoute une remarque propos des instructions ACL
respecte
respecte
ion
pour plus de lisibilit
Protocole (nom
Tcp (6)
Udp (17)
Ip (sans
Ipv6
Icmp (1) Echo
RIP, EIGRP,
ou numro [0oprande)
(sans oprateur)
255] d'un
protocole
internet)
IP source /IP destination
Adresse d'un hote
Adresse d'un rseau
N'importe quelle source de n'importe
quelle rseau
Ipv4
Adresse-d-un-hote 0.0.0.0 ou host adressed'un-hote
Adresse-d-un-rseau wildcard mask ex:
10.1.3.0 0.0.0.255
0.0.0.0 255.255.255.255 ou Any
Ipv6
Adresse-dun-hote/128
ex :
200:1:2::5/128
Adresse-d-un-rseau/64 ex : 200:1:2::
/64
any
Oprateur
lt
eq
compare les ports de dest ou

de source
Infrieur
(less than)
gal
(equal)
gt
Suprieur
(greater
than)
neq
range
Diffrent de
(not equal)
Gamme inclusive (dfinit par deux

numros de port)
Oprande : le nom du service de couche application ou leur numro (DNS, http, http, 25, 21,..)
Appliquer une ACL
sur une interface
sur les lignes VTY 0 4
Pour tout les types dACLs ipv4

R1(config-if)# ip access-group
{N/nom} {in/out}
R1(config-line)# [no] access-class
{N/Nom} IN
Modification dune ACL Standard

R1# show access-list {nom/N}
R1(config)# ip access-list standard {nom/N}
Pour Supprimer la rgle portant un numro de squence n.
R1(config-std-nacl)# no {n de squence}
Pour ajouter une rgle avec le un numro de squence n.
R1(config-std-nacl)# {n de squence} {action} {ip
source}
Type d'ACL
supprimer
(numrique/nomme)
Standard (ipv4)
R1(config)# no accesslist {N}
Pour lACL ipv6

R1(config-if)# ipv6 traffic-filter {Nom}
{in/out}
R1(config-line)# [no] access-class Nom
IN
Modification dune ACL Etendue (ipv4/ipv6)

R1# show access-list {nom/n}
R1(config)# ip access-list extanded {nom/N}
Pour Supprimer la rgle portant un numro de squence n.
R1(config-std-nacl)# no {n de squence}
Pour ajouter une rgle avec le un numro de squence n.
R1(config-std-nacl)# {n de squence} {action} {ip source}
(numrique/nomme) tendue (ipv4)

R1(config)# no ip access-list
standard/etendue {Nom}
Verification
Vrification des ACLs
Vrification dune ACL prcise (Pour savoir le numro de squence
(qui est au dbut de chaque ligne de chaque rgle)
Vrification de lACL applique sur une interface prcise
(outgoing applique en sortie)
Vrifier le fonctionnement dune ACL (pour savoir la nombre de
fois ou chaque rgle de lACL a t applique)
Nomme tendue (ipv6)

R1(config)# no ipv6 accesslist {Nom}
R1#
Pour tout les types dACLs ipv4 / ipv6

show access-lists
R1#
show access list {numro/nom}
R1# show ip interface {type dinterface} {N de

linterface}
R1#
show access-lists workingACL

ACL Résumé de Résumé

Transféré par

Droits d'auteur :

Formats disponibles

ACL Résumé de Résumé

Transféré par

Informations du document

Description originale:

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

ACL Résumé de Résumé

Transféré par

Droits d'auteur :

Formats disponibles

ACL (liste de contrle daccs)

Le plus proche possible de la destination en raison de leur

R1(config)# ipv6 access-list {nom}

compare les ports de dest ou

Gamme inclusive (dfinit par deux

Pour tout les types dACLs ipv4

Modification dune ACL Standard

Pour lACL ipv6

Modification dune ACL Etendue (ipv4/ipv6)

(numrique/nomme) tendue (ipv4)

Nomme tendue (ipv6)

Pour tout les types dACLs ipv4 / ipv6

show access list {numro/nom}

R1# show ip interface {type dinterface} {N de

show access-lists workingACL

Vous aimerez peut-être aussi