ACL numérique standard
Access Control List (ACL) ou listes de contrôle d'accès est une liste de règles permettant de filtrer ou d'autoriser du trafic sur un réseau en fonction de certains critères (adresse IP source, IP destination, port source, port destination, protocoles, ...).
Il existe deux types d'ACL : les ACL étendues et les ACL standards dont nous parlerons dans ce TP.
Les ACL standards : Elles n'analysent le trafic qu'en fonction de l'adresse IP source.
Il existe deux types d'ACL standards :
- ACL numériques standards : identifiées par des chiffres compris entre 1 à 99 et 1300 à 1999 .
- ACL nommées standards : identifiées par une chaîne de caractères.
Ce type d'ACL est à appliquer au plus proche possible de la destination à raison de leur faible précision.
-
Cas d'utilisation d'une ACL numérique standard
Les ACL standards peuvent être utilisées dans le cas d'une translation d'adresses (NAT), et fortement dans la sécurité des réseaux informatiques.
Mise en pratique :
/image%2F3625927%2F20210205%2Fob_631c74_1.png)
Après avoir fixé les adresses IP et passerelles respectives sur les différentes machines, faire la configuration IP du routeur !
Preuve :
/image%2F3625927%2F20210205%2Fob_a7e041_2.png)
Mettons en place une ACL numérique standard permettant de bloquer le trafic de PC-1 vers PC-3 et qui autorise celui de PC-2 vers PC-3 .
R1(config)#access-list 1 deny host 192.168.0.1
R1(config)#access-list 1 permit host 192.168.0.2
R1(config)#
2. Appliquer une ACL standard numérique
On applique notre ACL sur l'interface entrante f0/0 du routeur.
R1(config)#int f0/0
R1(config-if)#ip access-group 1 in
R1(config-if)#
R1#sh access-lists
Standard IP access list 1
10 deny 192.168.0.1
20 permit 192.168.0.2
R1#
Depuis PC-2
/image%2F3625927%2F20210205%2Fob_b6a397_3.png)
Depuis PC-1
/image%2F3625927%2F20210205%2Fob_bb9d41_4.png)
Comme nous l'avons programmé, le routeur à refusé son trafic !
3. Modification d'une ACL standard numérique
Pour modifier une ACL, il vaut mieux la désactiver sur l'interface du routeur
R1(config)#int f0/0
R1(config-if)#no ip access-group 1 in
R1(config-if)#exit
R1(config)#
R1#show access-lists
Standard IP access list 1
10 deny 192.168.0.1 (15 matches)
20 permit 192.168.0.2 (5 matches)
R1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#ip access-list standard 1
R1(config-std-nacl)#no 10
R1(config-std-nacl)#15 deny host 192.168.0.2
R1(config-std-nacl)#no 20
R1(config-std-nacl)#25 permit host 192.168.0.1
R1(config-std-nacl)#exit
R1(config)#
Dans cette modification, nous avons inversé ce que faisait l'ACL initiale, c'est à dire autoriser cette fois ci le trafic de PC-1 et refuser celui de PC-2.
On applique l'ACL sur f0/0
R1(config)#int f0/0
R1(config-if)#ip access-group 1 in
R1(config-if)#^Z
R1#
*Mar 1 00:29:13.715: %SYS-5-CONFIG_I: Configured from console by console
R1#
Nouveau test
Depuis PC-1
/image%2F3625927%2F20210205%2Fob_8a5a6a_5.png)
Depuis PC-2
/image%2F3625927%2F20210205%2Fob_53a6ec_6.png)
4. Suppression d'une ACL numérique standard
R1(config)#no ip access-list standard 1
R1(config)#
Nouveau test
Depuis PC-2
/image%2F3625927%2F20210205%2Fob_071016_7.png)
Nous avons supprimé l'ACL entraînant l'autorisation du trafic de PC-2.