Nicolas Dewaele

nico@nicodewaele.info
Les ACL de Cisco www.nicodewaele.info

Les ACL de Cisco

A partir du moment ou vous utilisez les ACL,
par défaut tout les paquets sont supprimés !

I- ACL simples
Les ACL simples permettent d'autoriser ou d'interdire de façon absolue l'accès
d'un réseau.

Dans le mode configuration :

router(config)# access-list 5 permit 192.168.1.0 0.0.0.255

Structure de la ligne de commande :

access-list <1 à 99> : Numéro de l'ACL, ce qui permet de l'appliquer à une
interface
permit | deny : Action : Les paquets seront acceptés ou refusés

DESTINATION
<réseau> <masque-générique> | host <hôte> | any : Réseau ou hôte source.

Exemples :
Interdire l'accès du réseau 192.168.2.0
router(config)# access-list 5 deny 192.168.2.0 0.0.0.255

Autoriser l'accès de la machine 192.168.0.1

router(config)# access-list 5 permit host 192.168.0.1

Autoriser l'accès de n'importe quelle machine :

router(config)# access-list 5 permit any

II- Application des ACL simples :

Les ACL simples s'appliquent toujours en sortie d'une interface :

ip access-group <1 – 99> : N° de l'ACL à appliquer sur l'interface

in | out : Cette ACL s'appliquera en entrée (in) ou en sortie de l'interface

Exemple :
router(config)# interface serial 0/0
router(config-if)# ip access-group 5 out

Ici j'applique toutes les lignes que j'avais identifiées par access-list 5

Dernières modifications le 26/05/08

- Page 1 -
 Nicolas Dewaele
nico@nicodewaele.info
Les ACL de Cisco www.nicodewaele.info

III- ACL étendues

Dans les ACL étendues nous allons préciser les informations suivantes :
● protocole (au choix : ip, icmp, tcp, udp)
● ip source
● port source
● ip destination
● port destination

Structure de la ligne de commande :

access-list <101 à 199> : Numéro de l'ACL, ce qui permet de l'appliquer à une
interface
permit | deny : Action : Les paquets seront acceptés ou refusés

PROTOCOLE
ip | icmp | tcp | udp : Protocole de niv 3 ou 4 utilisé

SOURCE
<réseau> <masque> | host <hôte> | any : Réseau ou hôte source. Any veut
dire tout le monde
eq | gt | lt <1 à 65535> : Si le protocole est TCP ou UDP, numéro de port
source

DESTINATION
<réseau> <masque> | host <hôte> | any : Réseau ou hôte destination.
eq | gt | lt <1 à 65535> : Si le protocole est TCP ou UDP, numéro de port dest.

Exemples :
Autoriser les accès du réseau 192.168.0.0 au serveur Web 192.168.2.19
router(config)# access-list 101 permit tcp 192.168.0.0 255.255.255.0
gt 1023 host 192.168.2.19 eq 80

Autoriser n'importe qui à accéder au serveur DNS 192.168.1.9

router(config)# access-list 101 permit udp any gt 1023 host 192.168.1.9
eq 53

IV- Application des ACL étendues :

Une ACL étendue s'applique toujours en entrée d'une (sous-)interface.

ip access-group <1 – 99> : N° de l'ACL à appliquer sur l'interface

in | out : Cette ACL s'appliquera en entrée (in) ou en sortie de l'interface

Exemple :
router(config)# int f0/0
router(config-if)# ip access-group 5 in

Ici j'applique toutes les lignes que j'avais identifiées par access-list 5

Dernières modifications le 26/05/08

- Page 2 -
 Nicolas Dewaele
nico@nicodewaele.info
Les ACL de Cisco www.nicodewaele.info

V- Vérification des ACL :

Pour voir la liste des ACL qui s'appliquent dans votre routeur, vous pouvez utiliser la
commande :
router# show access-lists

Si il y a beaucoup d'ACL limitez l'affichage à une seule ACL à la fois, par exemple :
router# show access-lists 5

Dernières modifications le 26/05/08

- Page 3 -