Blog ENI : Toute la veille numérique !
🐠 -25€ dès 75€ 
+ 7 jours d'accès à la Bibliothèque Numérique ENI. Cliquez ici
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
  1. Livres et vidéos
  2. CISCO
  3. Listes de contrôle d’accès
Extrait - CISCO Commutation, routage et Wi-Fi - Préparation au 2e module de la certification CCNA 200-301
Extraits du livre
CISCO Commutation, routage et Wi-Fi - Préparation au 2e module de la certification CCNA 200-301
2 avis
Revenir à la page d'achat du livre

Listes de contrôle d’accès

Prérequis et objectifs

1. Prérequis

Le modèle OSI et notamment le rôle de la couche liaison de données et de la couche réseau sont à connaître, ainsi que les notions de trame, de protocole Ethernet et de protocole IP. Toutes ces notions sont abordées dans le livre "Cisco - Notions de base sur les réseaux" dans la collection Certifications aux Éditions ENI.

Les chapitres précédents sont également des prérequis.

2. Objectifs

À la fin de ce chapitre, vous serez en mesure de :

Comprendre la notion et le fonctionnement des listes de contrôle d’accès.

Comprendre, configurer et placer des listes de contrôle d’accès IPv4 standards.

Comprendre, configurer et placer des listes de contrôle d’accès IPv4 étendues.

Configurer et placer des listes de contrôle d’accès IPv4 pour filtrer du trafic.

Configurer et placer des listes de contrôle d’accès IPv4 pour filtrer des accès VTY.

Configurer et placer des listes de contrôle d’accès IPv4 pour filtrer les informations à des fins de débogage.

Comparer les listes de contrôle d’accès IPv4 et IPv6.

Configurer et placer des listes de contrôle d’accès IPv6 pour filtrer du trafic.

Dépanner les erreurs classiques de contrôle d’accès....

Les listes de contrôle d’accès IPv4

1. Objectif des listes de contrôle d’accès

a. Qu’est-ce qu’une liste de contrôle d’accès (ACL) ?

Une liste de contrôle d’accès, ou ACL (Access Control List), est un ensemble séquentiel d’instructions appelées ACE (Access Control Entry) basées sur des informations contenues dans l’en-tête de paquet des protocoles de couche 2 et supérieures permettant de filtrer du trafic.

Les listes de contrôle d’accès font partie des fonctionnalités les plus utilisées de l’IOS.

Les ACL peuvent être utilisées pour :

  • Filtrer le trafic réseau en fonction des stratégies de l’entreprise, comme autoriser les trafics HTTP et HTTPS mais refuser les trafics POP3 et FTP ou limiter les accès VTY.

  • Filtrer le trafic réseau en fonction de sa priorité comme QoS (Quality of Service).

  • Définir du trafic intéressant comme les données devant traverser un tunnel VPN.

  • Limiter la propagation et la réception des mises à jour de routage.

  • Contrôler l’accès inter-VLAN. Par exemple, l’accès au réseau du département Ressources humaines peut être limité aux adresses IP autorisées.

  • Filtrer les annonces d’un protocole de routage.

  • Filtrer des adresses MAC.

Seule une partie de ces possibilités seront abordées dans le cadre de ce chapitre. Un livre entier pourrait être consacré aux listes de contrôle d’accès.

Par défaut, les routeurs ne filtrent pas le trafic car aucune liste d’accès n’est configurée initialement sur les routeurs.

Le routeur est capable de filtrer le trafic entrant et le trafic sortant mais les ACL ne peuvent pas gérer les paquets provenant du routeur lui-même.

b. Filtrage des paquets

Lorsque du trafic réseau traverse une interface configurée avec une liste de contrôle d’accès, le routeur compare les informations reçues à chaque ACE dans l’ordre séquentiel afin de déterminer si le paquet correspond à l’une des entrées. Si une correspondance est trouvée, le paquet est autorisé ou refusé en fonction de l’instruction...

Les listes de contrôle d’accès IPv6

1. Type de listes de contrôle d’accès IPv6

Il n’existe qu’un seul type de liste de contrôle d’accès IPv6. Celui-ci correspond à une liste de contrôle d’accès étendue IPv4 nommée.

2. Comparaison des ACL IPv4 et IPv6

Les trois différences majeures avec IPv4 sont :

  • IPv6 utilise la commande ipv6 traffic-filter pour appliquer une ACL IPv6 à une interface.

  • Les listes de contrôle d’accès IPv6 n’utilisent pas de masque générique. La longueur de la correspondance avec les adresses source ou destination est définie par le préfixe.

  • En plus du "deny ipv6 any any" implicite à la fin de la liste (similaire à IPv4), deux autres instructions implicites sont appliquées par défaut :

  • permit icmp any any nd-na,

  • permit icmp any any nd-ns.

Ces deux dernières instructions sont nécessaires au mécanisme successeur du protocole ARP IPv4 : la découverte de voisin (Neighbor Discovery : ND). Le principe de son fonctionnement est le suivant :

  • Les messages de sollicitation (Neighbor Solicitation : NS) sont utilisés pour demander une adresse MAC (en fonction d’une adresse IPv6).

  • Les annonces de voisin (Neighbor Advertisement : NA) sont utilisées pour répondre aux sollicitations.

Les messages ND utilisés pour la découverte des voisins sont encapsulés dans des paquets IPv6. Ce qui explique pourquoi il faut inclure ces messages dans les ACL IPv6.

Les nd-na sont utilisés pour gérer les annonces de voisin et les nd-ns s’occupent des messages de sollicitation. 

La commande access-class, utilisée pour appliquer une liste d’accès aux ports VTY, fonctionne également avec IPv6.

3. Configuration des ACL IPv6

La syntaxe de commande pour les listes de contrôle d’accès IPv6 est très similaire à celle pour les listes de contrôle d’accès étendues IPv4 nommées.

Ipv6 access-list <name> 
   [<sequence>] {permit | deny} <protocol> <source> [<ports>]  
<destination> [<ports>] [<options>]

Considérons l’exemple suivant (en vous référant...

Validation des acquis : questions/réponses

1. Questions

Si l’état de vos connaissances sur ce chapitre vous semble suffisant, répondez aux questions ci-après :

1 Un routeur filtre-t-il les paquets entrants par défaut ?

2 Citez cinq cas d’utilisation des listes de contrôle d’accès.

3 Expliquez brièvement le fonctionnement d’une ACL.

4 Quel(s) critère(s) peut ou peuvent être utilisé(s) par les ACL standards ?

5 Quel(s) critère(s) peut ou peuvent être utilisé(s) par les ACL étendues ?

6 Quelle est la règle de placement d’une ACL standard ?

7 Quelle est la règle de placement d’une ACL étendue ?

8 Quels sont les numéros réservés aux ACL standards ?

9 Quels sont les numéros réservés aux ACL étendues ?

10 Quel masque permet de refuser tous les hôtes du réseau 192.168.1.0/24 ?

11 Quel masque permet d’autoriser l’hôte 192.168.1.10 ?

12 Quel masque permet d’autoriser tous les hôtes du réseau 192.168.1.0/27 ?

13 L’ACL suivante a été configurée sur un routeur :

Access-list 50 permit 192.168.1.64 0.0.0.63

Un paquet provenant de la machine 192.168.1.130 va-t-il être autorisé ou refusé ?

14 L’ACL suivante a été configurée sur un routeur :

Access-list 50 permit 10.0.1.1 0.0.0.15

Un paquet provenant de la machine 10.0.1.17 va-t-il être autorisé ou refusé ?

15 Quelle commande permet d’associer une liste de contrôle d’accès IPv4 à une interface ?

16 Pour quelle(s) raison(s) un administrateur pourrait ajouter les commandes suivantes à la fin de son ACL ?

Access-list 50 deny any log

 

17 Quel est le rôle de la commande ipv6 traffic-filter ?

18 Combien de types d’ACL existe-t-il en IPv6 ?

19 Comment vérifier qu’une ACL IPv4 a bien été liée à une interface ?

20 Quelle commande permet de limiter les connexions entrantes sur les ports VTY en IPv6 ?

21 Proposez la commande permettant la création d’un élément de liste d’accès IP standard dont l’objet est d’autoriser tout trafic issu...