La configuration ACL standard vous échappe ? Cet article est fait pour vous !

ACL STANDARD : CONFIGURATION

La Configuration ACL standard s'effectue sur un routeur, directement dans le mode de configuration globale. Ce processus implique l'ajustement précis de la Configuration ACL pour répondre aux besoins spécifiques de sécurité et de gestion du trafic.

La commande « access-list » permet de créer une entrée ACL.

Ici, dans l’exemple, le réseau 172.16. 2fois « 0 » combiné à un masque inversé en 2 fois 0. 2 fois « 255 » indiquent n’importe quelle adresse source qui commence par 172.16 !

Nous avons vu, qu’une ACL standard est numérotée de 1 à 99, ou de 1300 à 1999.

Dans l’exemple, nous avons choisi de la nommer en 1.

L'exécution de la commande "show access-list" permet de visualiser la Configuration ACL actuellement établie sur le routeur.

Pour supprimer une ACL, il faut faire un : no access-list + son numéro d'ACL en mode de configuration globale.

Et si on refait un « show access-list », cela nous confirme bien que l’ACL est supprimée.

Une ACL peut contenir plusieurs lignes. Par contre, il n’est pas possible de supprimer une ligne individuellement… Du moins, pour les ACL numérotées !

Le « no access-list » + le Numéro de l'ACL, supprime tout le contenu de l’ACL.

La seule manière d'enlever ou de modifier une ACL serait de copier toutes les lignes de l'ACL dans un éditeur de texte pour la modifier.

Ensuite, de supprimer l’ACL sur le routeur et de copier/ coller la nouvelle ACL qu’on l'aura modifié dans l'éditeur de texte.

Sur les nouvelles versions de l’IOS, l’édition d’une ACL est simplifiée, car désormais, elles utilisent une numérotation séquentielle !

Grâce à l’ACL, il est donc possible de filtrer le trafic réseau pour limiter ou restreindre l'accès à une ressource réseau.

L’ACL permet de contrôler l’accès en fonction des informations de couche 3, qui sont contenues dans l’en-tête du paquet IP !

Avec une ACL standard, il est possible d’empêcher des paquets IP soit d'entrer, soit de sortir du routeur.

Voici un petit schéma qui explique bien la différence entre le fait de placer l’ACL en entrée ou en sortie d’interface !

Dans une ACL sortante : les paquets qui rentrent sur le routeur sont traités avant tout par la table de routage. Si le réseau de destination du paquet ne fait pas partie des réseaux qui figurent dans la table de routage, alors il sera supprimé ! Et si une correspondance existe, il sera envoyé vers l’ACL. Idem pour l’ACL, si le paquet est autorisé alors il partira vers l’interface de sortie, sinon il sera supprimé !

Et pour une ACL entrante : ici les paquets sont d’abord traités par l'ACL avant d'être envoyés au routeur !

Après avoir configuré une ACL, il faut l’appliquer à une interface à l'aide de la commande « IP access-group ».

La commande « IP access-group 1 out », applique L’ACL N°1 sur l'interface en sortie :

Et la commande « IP access-group 2 in » applique L’ACL N°2 sur l'interface en entrée.

Il ne peut y avoir qu’une seule ACL par protocole, par direction et par interface.

On va prendre un exemple.

Sur cette topologie, nous souhaitons couper l’accès internet au PC qui porte l’IP 192.168.1.1, tout en autorisant les autres PC de ce même LAN !

Pour cela, il est possible d’appliquer un filtrage du trafic sur le routeur, soit en entrer, c’est-à-dire sur l’interface qui est connectée au réseau local, soit en sortie sur l’interface connectée côté Internet.

Comme la lecture d’une ACL se fait de haut en bas, nous allons créer :

• La première entrée en refusant le PC
• Et la seconde en autorisant tout le LAN 192.168.1.0/24

Ensuite, il ne nous reste plus qu’à appliquer cette ACL en sortie sur l’interface Fast Ethernet 0/1 !

Vous remarquerez que l’ACL a été placé en sortie du routeur.

On aurait très bien pu la positionner directement sur l’entrée FastEthernet 0/0.

Ce qui empêcherait toujours le PC en .1 d’accéder à Internet, mais le problème c’est que ça l’aurait aussi empêché de communiquer avec le routeur !

Pour ceux qui se demandent, notre seconde ligne de l’ACL est indispensable car implicitement, pour des raisons de sécurité, la dernière entrée refuse tout passage. En gros, si aucune entrée n’est pas matchée, le paquet est supprimé.

C’est pourquoi dans notre exemple, il était important d’ajouter une ligne qui autorise tout le reste du réseau.

Au lieu de déclarer notre ACL standard par un numéro compris entre 1 à 99 et 1300 à 1999, il est possible de lui affecter un nom.

C’est ce qu’on appelle une ACL nommée !

Cela permet d’avoir une description sur la fonction de l’ACL. Ce qui peut être très utile quand on en a plusieurs.

La commande pour créer une access liste nommée est « IP access-list standard + le nom qu’on souhaite lui donner ! Dans l’exemple, on lui donne le nom de : Internet_Interdit_PC1.

On ne peut pas être plus clair que ça 😊

Le nom qu’on attribue à l’ACL doit être unique.

Vous remarquerez que le sigle a changé. On est maintenant dans le mode de configuration de notre ACL !

On peut désormais écrire nos lignes ACL une par une !

Le principal avantage d’une ACL nommée, c’est que chaque ligne qu’on rentre est numérotée à partir de 10 et incrémentés de 10 pour les suivantes. Notre ligne « deny » portera le 10 et la ligne en dessous sera numérotée « 20 ».

Grâce à ça, il est possible de supprimer ou modifier une ligne sans devoir supprimer l’ACL en entière.

Et il nous reste plus qu’à rattacher notre ACL nommée sur l’interface.

Il s’agit de la même commande sauf qu’à la place du numéro, on met le nom. 

Si on fait un « show access-lits », on voit bien que nos deux lignes ACL portent chacune un numéro de séquence.

Le gros avantage, c'est que si on souhaite interdire internet pour un autre PC qui porterait l’IP 192.168.1.2, on n'aura juste qu'à placer notre ligne ACL avant le permit, en la numérotant avec un chiffre inférieur à 20.

Dans l’exemple, on a pris le numéro de séquence 5.

De cette façon, si on refait un « show access-lists », pour notre dernière ACL, c’est placé au-dessus de la première !

On peut aussi très facilement supprimer une seule ligne de l’ACL, sans devoir la supprimer complètement, en faisant simplement un « no » + le numéro de séquence à supprimer.

À faire bien évidemment, dans le mode de configuration de l’ACL !

Et on va terminer avec la commande « access-list resequence » qui permet la mise à jour de ces numéros séquences sans faire de redémarrage !

Découvrez sur la chaîne YouTube de Formip une gamme complète de cours dédiée à la compréhension et à la maîtrise de la Configuration ACL standard, essentielle pour réussir votre CCNA. Approfondissez vos connaissances en Configuration ACL avec nos ressources pédagogiques.

Pour aller plus loin dans la maîtrise du routage, découvrez l’introduction au protocole OSPF (Open Shortest Path First), un élément essentiel pour comprendre le fonctionnement et l’optimisation des routes dans les réseaux modernes.