Office de la Formation

Professionnelle et de la
Promotion du Travail
Exposé sur les
ACLs
Réalisé par :
 LES ACLS
Le plan :
 Définition des ACLs
 Les conditions contrôlés par ACLs
 Les utilisations des ACLs
 Comment ça marche ?
 Les numéros des ACLs
 Notion de masque générique
 Création des ACLs
 Les types des ACLs
 Le placement de chaque type
 l’application des ACLs sur une interface
 Vérification des ACLs
 Différence entre ACLs standard et ACLs étendue
 conclusion
 Définition des ACLs
Les ACLs (en anglais « Access Control List » ou
en Français « Listes de Contrôle d’Accès »),
sont des listes de conditions qui sont appliquées
au trafic circulant via une interface de
routeur.  Ces listes indiquent au routeur les
types de paquets à accepter ou à rejeter.
L’acceptation et le refus peuvent être basés sur
des conditions précises. Les ACLs permettent
de gérer le trafic et de sécuriser l’accès d’un
réseau en entrée comme en sortie.
 Définition des ACLs
 d
 Les conditions contrôlés par ACL
Les paramètres contrôlés sont:
 Adresse source
 Adresse destination

 Protocole routé (IP,IPX… )

 Numéro de port

Les ACLs peuvent être appliquées sur le trafic entrant

ou sortant. Il y a deux actions: soit le trafic est
interdit, soit le trafic est autorisé.
Les ACLs sont prises en compte de façon séquentielle.
Il faut donc placer les instructions les plus précises en
premier et l'instruction la plus générique en dernier.
Par défaut, tout le trafic est interdit.
Les conditions contrôlés par ACL
 Les utilisations des ACLs
Voici les principales raisons pour lesquelles il est
nécessaire de créer des listes de contrôle d’accès :
 Limiter le trafic réseau et accroître les

performances.
 Contrôler le flux de trafic.

 Les ACLs peuvent limiter l’arrivée des mises à jour

de routage.
 Si aucune mise à jour n’est requise en raison des

conditions du réseau, la bande passante est

préservée.
 Fournir un niveau de sécurité d’accès réseau de base.
 Les utilisations des ACLs

 Autoriser un administrateur à contrôler les zones

auxquelles un client peut accéder sur un réseau.
 Il est possible d’autoriser l’acheminement des

messages électroniques et de bloquer tout le trafic

via Telnet.
 Filtrer certains hôtes afin de leur accorder ou de

leur refuser l’accès à une section de réseau.

 Accorder ou refuser aux utilisateurs la permission

d’accéder à certains types de fichiers, tels que FTP

ou HTTP.
 Comment ça marche ?
Une liste d'accès, comportant une suite d'instructions de filtrage, va être
appliquée sur une interface du routeur, pour le trafic entrant ou pour le trafic
sortant. Il va falloir appliquer une logique sur les interfaces en sortie ou en
entrée :
 Comment ça marche ?
 Sur une interface, on peut mettre deux ACLs :
◦ en entrée
◦ en sortie
 Si plusieurs protocoles de niveau 3 sont utilisés, il faut une
ACL par protocole routé(IP,IPX…).
 L'acceptation ou le refus peuvent être fondés sur :
◦ l'adresse IP d'origine
◦ l'adresse IP de destination
◦ le numéro de port
 Tous les paquets qui arrivent sur l’interface d’un routeur où
une ACL a été activée sont confrontés à cette ACL.
 Un paquet refusé est tout simplement abandonné.
 Les numéros des ACLs
 On identifie une liste d’accès en lui donnant un numéro.
 Ce numéro identifie aussi le type de liste, et doit respecter les
contraintes suivantes :

protocole plage
IP standard 1 - 99 et 1300 - 1999
IP étendu 100 - 199 et 2000 -
2699
Apple Talk 600 - 699
IPX 800 - 899
IPX étendu 900 - 999
Protocole IPX Service Advertising 1000 - 1099
 Notion de masque générique
Masque générique(wildcard mask):

Il ne faut pas confondre un masque générique ( wilcard mask)

avec un masque de réseau. 
Un masque générique est un masque de filtrage. Il est

associé à une adresse IP. Il permet de déterminer quelles sont

les adresses IP concernées par le contrôle.
•Un bit 0 de masque générique signifie « vérifier la valeur du
bit correspondant ».
• Un bit 1 signifie « ne pas vérifier (ignorer) la valeur du bit
correspondant ».
 Notion de masque générique

Masque de réseau:

Un masque de réseau est un masque de division ou de


regroupement. Une addition booléenne d'une adresse IP
et d'un masque de réseau est utilisée pour distinguer la
partie réseau de la partie hôte. 
En binaire, alors qu'un masque de réseau est
nécessairement une suite homogène de 1 et puis de 0, un
masque générique peut être une suite quelconque de 1 et
de 0 en fonction du filtrage que l'on veut opérer sur des
adresse IP.
 Notion de masque générique
 Adresse de référence : 10.1.1.0
 Masque générique : 0.0.0.255
 Adresse de référence (binaire) :
00001010. 00000001. 00000001.00000000
 Masque générique (binaire) :
00000000. 00000000. 00000000.11111111

 En se basant sur le masque en binaire, on peut remarquer que

les trois premiers octets de l'adresse de référence doivent
correspondre. La valeur du dernier octet n'a pas
d'importance. Autrement dit, avec ce masque, toutes les
adresses de 10.1.1.0 jusque 10.1.1.255 seront vérifiées.
 Notion de masque générique
Voici quelques exemples de masque générique sur n'importe quelle
adresse IP :
Masque générique version description

0.0.0.0 00000000.00000000.00000000.00000000 Tous les bits seront examinés

0.0.0.255 00000000.00000000.00000000.11111111 Les 24 premiers bits seront examinés

0.0.255.255 00000000.00000000.11111111.11111111 Les 16 premiers bits seront examinés

0.255.255.255 00000000.11111111.11111111.11111111 Les 8 premiers bits seront examinés

L'adresse ne sera pas examinée. Tous les

255.255.255.255 11111111.11111111.11111111.11111111
bits correspondent d'emblée.

0.0.15.255 00000000.00000000.00001111.11111111 Les 20 premiers bits seront examinés

0.0.3.255 00000000.00000000.00000011.11111111 Les 22 premiers bits seront examinés

 Notion de masque générique
  Le mot "any" remplace le 0.0.0.0 255.255.255.255,
autrement dit toute adresse IP
  Le mot "host" remplace le masque 0.0.0.0, par exemple,
10.1.1.1 0.0.0.0 peut être remplacé par "host 10.1.1.1"
 Concrètement, on pourra généraliser de la manière
suivante: le masque générique à utiliser est l'inverse du
masque de réseau pour un réseau à filtrer. Par exemple,
pour filtrer sur 192.168.1.0/24 (255.255.255.0), on
prendra un masque générique 0.0.0.255. Autre exemple
aussi, pour filtrer sur 192.168.1.0/27
(255.255.255.224), on prendra un masque générique
0.0.0.31.
 Création des ACLs
Quelque soit le type d’ACL dont il s’agit; leur utilisation
se fait toujours selon les mêmes principes généraux :
 Première étape : En mode « config », on crée une ACL,

c'est-à-dire une liste de règles. Chaque règle est du

type (condition, action). Les règles sont interprétées
séquentiellement. Si la condition analysée ne correspond
pas, on passe à la règle suivante. Si la condition
correspond, l’action correspondante est effectuée, et le
parcours de l’ACL est interrompu. Par défaut, toutes les
ACLs considèrent la règle (VRAI, REJET) si aucune des
règles précédentes n’a été prise en compte, c'est-à-
dire que tout datagramme non explicitement accepté
par une règle préalable
sera rejeté .
 Création des ACLs
Deuxième étape :
En mode « config-int », on applique une ACL en
entrée (in) (respectivement en sortie(out)),
c'est-à-dire que l’on décide d’activer la liste
de règles correspondante à tous les
datagrammes « entrant » dans le routeur
(respectivement « sortant » du routeur) par
l’interface considérée. En conséquence, sur un
routeur, il peut y avoir au maximum 2 ACLs
(IP) par interface.
 Les types des ACLs
Il existe trois types de contrôle pour le protocole IP :
-les ACLs standards;
-les ACLs étendues;
-les ACLs nommées
 Les ACLs standards:

Les ACL standards n’offrent pas énormément de possibilités,

elles permettent simplement de créer des règles dont les
conditions ne prennent en compte que les adresses IP
sources des datagrammes IP analysés. C’est assez
contraignant, mais cela permet déjà un certain nombre de
manipulations intéressantes.(Elles vérifient l’adresse
d’origine des paquets IP qui sont routés.)
 Les types des ACLs
La commande pour créer une ACL standard est la suivante :

Router (config) #access-list number-de liste {permit/deny}

<@IP source> <masque-source |any>
• access-list est utilisée pour définir une ACL standard.

• Le numéro de liste doit être compris entre 1 et 99 ou 1300

et 1999 pour une ACL standard (tapez un ? après la commande

« access-list » pour visualiser toutes les fourchettes possibles
en fonctions des types d’ACL).
• « Permit ou deny » indique l’action à prendre (deux seules

actions sont possibles : autorisé ou refusé).

• L’IP source + masque générique.

• « any »:tout les adresses IP.

 Les types des ACLs
Exemples:
R1 (config )# access-list 50 deny 172.16.1.1
R1(config) # access-list 50 permit 172.16.0.0 0.0.255.255

Nombre compris entre 1 Pas de masque

et 99,ou entre 1300 générique : par
et1999 ( ACL standard) défaut 0.0.0.0

Refuser
Masque
ou générique
autoriser
 Les types des ACLs

 Placement des ACLs standards:

Dans la pratique, étant donné que les ACLs

standards ne peuvent prendre en compte que
les adresse IP sources, il est logique qu’elles
soient souvent utilisées pour filtrer les
datagrammes proches de la destination finale,
sur un passage « obligé » pour joindre le
destinataire final.
Les types des ACLs
 Les types des ACLs
 Les ACLs étendues:
 La syntaxe un peu plus complète des ACLs

étendues, permet, selon le même principe que

précédemment, de créer des règles de filtrage
plus précises, elles vérifient les adresses
d’origine et de destination du paquet et
peuvent aussi vérifier les protocoles et les
numéros de port.
La commande pour créer une ACL étendue est la
suivante :
 Les types des ACLs
R2(config)#access-list <number-de liste> {permit/deny}
<protocole> <@IPsource> <masque> [port]
<@IPdest> <masque> <opérateur> [port]
• Le numéro de liste doit être compris entre 100 et 199 ou

entre 2000 et 2699 pour une ACL étendue.

• « Permit ou deny » indique l’action à prendre (deux seules

actions sont possibles : autorisé ou refusé).

• « protocole » indique le protocole concerné par le filtre (tapez

un ? pour avoir la liste des protocoles disponibles) Les

protocoles indiqués peuvent être de différents niveaux jusqu’au
niveau transport (ex : TCP ou UDP, mais également IP ou ICMP).
La distinction sur les protocoles applicatifs (http, FTP …) se
fera sur le champ « port ».
 Les types des ACLs
 «opérateur» peut prendre les valeurs suivantes:
-lt (less than ou moins grand que)
-gt (greater than ou plus petit que)
-eq (equal ou égal)
-neq (not equal ou différent )
 « port » permet d’indiquer un numéro de port (ou son nom
symbolique si il est connu http, FTP, Telnet, …). Notez qu’un
port doit être indiqué précédé d’un opérateur (ex : « eq http »
ou « eq 80 » ou « lt 1024 ») avec « eq » (pour « equal »), « lt »
(pour « lower than ») ou « gt » (pour greater than), …
 IP et masques générique suivent les mêmes règles que pour
les ACLs standards.
 Les types des ACLs
• Voici les numéros de port :
 Les types des ACLs
Exemples:
port
R1(config)#access-list 101 permit ip host 10.0.0.1 any
R1(config)#access-list 101 deny ip 10.0.0.0 0.0.0.255
R1(config)#access-list 101 deny tcp 172.16.6.1 192.168.1.0 0.0.0.255 eq 23
R1(config)#access-list 101 permit tcp172.16.6.0 0.0.0.255 any eq telnet
eq : égal
gt : plus grand que
protocole source destination lt : moins grand que
neg : différent

1)autorise tout le trafic IP venant de l’hôte 10.0.0.1, quelle que soit la destination.
2)refuse le trafic IP venant du réseau 10.0.0.0/24, quelle que soit la destination .
3)interdit à l’hôte 172.16.6.1 ; à utiliser l’accès telnet au réseau 192.168.1.0/24.
4)autorise tous les hôtes du réseau 172.16.6.0/24 à utiliser telnet vers tous les réseaux .
 Les types des ACLs

 Placement des ACLs étendues:

les ACLs étendues prenant aussi en compte les

adresses destination, peuvent être utilisées au
contraire sur les routeurs les plus proches des
équipements sources concernés, ceci afin d’éviter du
trafic superflu sur le réseau.
Les types des ACLs
 Les types des ACLs
 Les ACLs nommées:
Servent à attribuer des noms aux listes d’accès
standard et étendues à la place des numéros.
Avantages:
 Identifier de manière intuitive une liste d’accès à

l’aide d’un nom alphanumérique.

 L’IOS ne limite pas le nombre d’ACL nommées qui

peuvent être configurées.

 Les ACLs nommées permettent de modifier des

listes de contrôle d’accès sans avoir à les supprimer,

puis à les reconfigurer.
 Les types des ACLs
Exemple: Nom explicite choisi par
Standard ou
l’administrateur
extended

R1(config)#ip access-list extended server-access

R1(config-ext-nacl)#permit tcp any host 10.0.0.2 eq smtp
R1(config-ext-nacl)# permit udp any host 10.0.0.2 eq 53
R1(config-ext-nacl)# [Control + Z
R1(config)#interface f 0/0
R1(config-if)#ip access-group Server-Access out
l’application d’ACL sur une interface
Pour activer une ACL sur une interface, il faut :
 Se positionner dans le mode de configuration

de l’interface, grâce à la commande

« interface <nom de l’interface> »;
 Saisir la commande : « ip access-group

<numéro-de liste >< in | out> »

 N’oubliez pas de vous considérer « à

l’intérieur du routeur », pour choisir entre le

mot clé « in » et le mot clé « out » …
 l’application d’ACL sur une interface
Exemple:
Router(config)# access-list 122 permit tcp 10.2.128.0 0.0.0.255 any eq telnet

Router(config)#interface fa0/0

Router(config-if)#ip access-group ?

<1-199> IP access list (standard or extended)

WORD Access-list name

Router(config-if)#ip access-group 20 ?

in inbound packets
out outbound packets

Router(config-if)#ip access-group 20 in

On a donc appliqué la règle 20, créée ci-dessus, à l'interface Fa0/0;

pour les paquets entrants.
 Vérification des ACLs
 La commande show access-lists affiche le contenu de toutes les
listes de contrôle d’accès sur le routeur.
Fatiha2#show access-lists
Extended IP access list 102
permit ip any host 128.88.1.6
Extended IP access list mailblock
permit tcp any 128.88.0.0 0.0.255.255

Ou La commande show access-lists <nom de list>

R2#show access-lists reseau-secretariat
Extended IP access list reseau-secretariat
10 permit tcp host 192.168.2.1 gt 1023 192.168.3.0
0.0.0.255 eq 22
20 permit tcp any any
30 deny ip any any
 Vérification des ACLs
 La commande show ip interface affiche les informations relatives à
l’interface IP et indique si des listes de contrôle d’accès sont configurées.

La commande show running-config permet également d’afficher

les ACLs d’un routeur.
 Différence entre ACL standard et ACL étendue

Règle générale:
 La règle générale est de placer les listes de contrôle

d’accès étendu le plus près possible de la source du

trafic refusé afin de le détruire le plus vite possible.
Etant donné que les listes de contrôle d’accès standard
ne précise pas les adresses de destination, on doit les
placer le plus près possible de la destination afin de ne
pas de détruire le paquet trop tôt. Il faut placer la
règle le plus spécifique en premier.
 Pour désactiver une ACL les manipulations sont les

mêmes que pour l’activer, en utilisant le mot clé « no »

devant la commande; avant de faire le moindre
changement sur une ACL
 Conclusion
 Les ACLs permettent de n’autoriser que le trafic
utile.
 il faut spécifier les règles de filtrage de la plus

spécifique à la plus générale.

 quand une règle applicable est trouvée, les autres

ne sont pas testées.

 Les ACLs étendues sont à préférer car elles évitent

la propagation au delà du premier routeur des

paquets qui sont à filtrer
 Il existe un refus implicite deny any à la fin de

toutes les listes de contrôle d’accès.

 Conclusion
 Il existe d’autres type d’ACL:

◦ les ACLs dynamiques

◦ les ACLs « réflexives »
◦ les ACLs à caractère temporel
◦ les turbo ACLs
◦ et les ACLs dépendantes du contexte
Merci pour votre
attention