Blog ENI : Toute la veille numérique !
🐠 -25€ dès 75€ 
+ 7 jours d'accès à la Bibliothèque Numérique ENI. Cliquez ici
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
  1. Livres et vidéos
  2. CISCO
  3. Listes de contrôle d’accès
Extrait - CISCO Commutation, routage et réseau sans-fil
Extraits du livre
CISCO Commutation, routage et réseau sans-fil
1 avis
Revenir à la page d'achat du livre

Listes de contrôle d’accès

Les listes de contrôle d’accès IPv4

1. Objectif des listes de contrôle d’accès

a. Qu’est-ce qu’une liste de contrôle d’accès (ACL) ?

Une liste de contrôle d’accès, ou ACL (Access Control List), est un ensemble séquentiel d’instructions appelées ACE (Access Control Entry) basées sur des informations contenues dans l’en-tête de paquet des protocoles de couche 2 et supérieures permettant de filtrer du trafic.

Les listes de contrôle d’accès font partie des fonctionnalités les plus utilisées de l’IOS.

Les ACL peuvent être utilisées pour :

  • Filtrer le trafic réseau en fonction des stratégies de l’entreprise, comme autoriser les trafics HTTP et HTTPS mais refuser les trafics POP3 et FTP ou limiter les accès VTY.

  • Filtrer le trafic réseau en fonction de sa priorité comme QoS (Quality of Service). 

  • Définir du trafic intéressant comme les données devant traverser un tunnel VPN.

  • Limiter la propagation et la réception des mises à jour de routage.

  • Contrôler l’accès inter-VLAN. Par exemple, l’accès au réseau du département Ressources humaines peut être limité aux adresses IP autorisées.

  • Filtrer les annonces d’un protocole de routage.

  • Filtrer des adresses MAC.

Seule une partie de ces possibilités seront abordées dans le cadre de ce chapitre. Un livre entier pourrait être consacré aux listes de contrôle d’accès.

Par défaut, les routeurs ne filtrent pas le trafic car aucune...

Les listes de contrôle d’accès IPv6

1. Type de listes de contrôle d’accès IPv6

Il n’existe qu’un seul type de liste de contrôle d’accès IPv6. Celui-ci correspond à une liste de contrôle d’accès étendue IPv4 nommée.

2. Comparaison des ACL IPv4 et IPv6

Les trois différences majeures avec IPv4 sont :

  • IPv6 utilise la commande ipv6 traffic-filter pour appliquer une ACL IPv6 à une interface.

  • Les listes de contrôle d’accès IPv6 n’utilisent pas de masque générique. La longueur de la correspondance avec les adresses source ou destination est définie par le préfixe.

  • En plus du "deny ipv6 any any" implicite à la fin de la liste (similaire à IPv4), deux autres instructions implicites sont appliquées par défaut :

  • permit icmp any any nd-na,

  • permit icmp any any nd-ns.

Ces deux dernières instructions sont nécessaires au mécanisme successeur du protocole ARP IPv4 : la découverte de voisin (Neighbor Discovery : ND). Le principe de son fonctionnement est le suivant :

  • Les messages de sollicitation (Neighbor Solicitation : NS) sont utilisés pour demander une adresse MAC (en fonction d’une adresse IPv6).

  • Les annonces de voisin (Neighbor Advertisement : NA) sont utilisées pour répondre aux sollicitations.

Les messages ND utilisés pour la découverte des voisins sont encapsulés dans des paquets IPv6. Ce qui explique pourquoi il faut inclure ces messages dans les ACL IPv6.

Les nd-na sont utilisés pour gérer les annonces de voisin et les nd-ns s’occupent des...