Standard ACL

1. Qu'est-ce que l'ACL standard ?

Lors de la gestion d'un réseau, il est souvent nécessaire de contrôler le trafic autorisé ou refusé.

Une Standard Access Control List (ACL) vous aide à atteindre cet objectif en filtrant le trafic IPv4 sur la base de l'adresse IP source uniquement.

Diagramme ACL standard autorisant le réseau juridique 192.168.1.0/24 et interdisant au réseau RH 192.168.2.0/24 d'accéder au serveur juridique 192.168.3.1

Dans l'exemple ci-dessous :

  • Le réseau Legal (192.168.1.0/24) est autorisé à accéder au serveur Legal (192.168.3.1).

  • Le réseau RH (192.168.2.0/24) se voit refuser l'accès à ce même serveur.

Il s'agit d'un cas d'utilisation parfait pour une ACL standard, car vous ne vous souciez que de la personne qui envoie le trafic, et non de la destination ou du type de trafic.

2. Configurer l'ACL standard

Maintenant que vous avez compris ce qu'est une ACL standard, voyons comment en configurer une étape par étape sur un routeur Cisco.

Étape 1 : Entrer dans le mode de configuration globale

R1# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#

Étape 2 : Créer l'ACL standard

Pour créer une Standard ACL, utilisez la commande ip access-list standard.

R1(config)# ip access-list standard ?
  <1-99>        Standard IP access-list number
  <1300-1999>   Standard IP access-list number (expanded range)
  WORD          Access-list name

Nous choisissons ici le nombre 10, qui fait partie des plages valides pour les ACL standard :

  • De 1 à 99 (Range Classique)

  • De 1300 à 1999 (Range Etendu)

R1(config)# ip access-list standard 10
R1(config-std-nacl)# permit ?
  Hostname or A.B.C.D  Address to match
  any                  Any source host
  host                 A single host address

Étape 3 : Autoriser le réseau Legal

Nous voulons autoriser le trafic en provenance du réseau 192.168.1.0/24.

Voyons les options disponibles :

R1(config-std-nacl)# permit ?
  Hostname or A.B.C.D  Address to match
  any                  Any source host
  host                 A single host address

Ici, nous choisissons de faire correspondre une adresse de réseau :

R1(config-std-nacl)# permit 192.168.1.0 ?      
  A.B.C.D  Wildcard bits
  log      Log matches against this entry

Nous ferons correspondre un réseau à l'aide du wildcard mask :

R1(config-std-nacl)# permit 192.168.1.0 0.0.0.255

Cette ligne correspond à n'importe quel hôte entre 192.168.1.0 et 192.168.1.255.

Pourquoi 0.0.0.255 ?

Dans les ACL, nous n'utilisons pas de masques de sous-réseau, mais des wildcard mask.

Un wildcard mask est l'inverse d'un masque de sous-réseau. Il indique au routeur les bits à ignorer lors de la comparaison des adresses IP.

R1(config-std-nacl)# permit 192.168.1.0 0.0.0.255

Masque de Sous Réseau

Wildcard Mask

Correspondances

255.255.255.0

0.0.0.255

Toutes les IP d'un sous-réseau /24

255.255.255.255

0.0.0.0

Une IP exact


Ainsi :

permit 192.168.1.0 0.0.0.255 => permet à l'ensemble du réseau 192.168.1.0/24
permit 192.168.1.10 0.0.0.0 => autorise uniquement 192.168.1.10

Étape 4 : Refuser le réseau RH

Nous bloquons maintenant tout le trafic en provenance de 192.168.2.0/24 :

R1(config-std-nacl)# deny 192.168.2.0 0.0.0.255

Cela correspond à toutes les IP du sous-réseau HR et les bloque.

Normalement, vous n'avez pas besoin d'écrire un deny, il y a déjà un deny any implicite à la fin de chaque ACL.
Mais ici, nous l'ajoutons explicitement pour montrer comment refuser manuellement un sous-réseau spécifique.

3. Où appliquer l'ACL standard

Votre ACL est maintenant configuré mais il ne fera rien tant que vous ne l'appliquerez pas à une interface.

Stratégie de placement

Les ACL standard ne filtrent que sur la base de l'adresse IP source.
C'est pourquoi la meilleure pratique consiste à les appliquer le plus près possible de la destination.

Pourquoi ?

En effet, si vous appliquez l'ACL trop tôt, vous risquez de bloquer le trafic avant qu'il n'atteigne d'autres parties du réseau.

Exemple de placement d'une ACL standard appliquant l'ACL à proximité de la destination pour autoriser le réseau juridique et empêcher le réseau RH d'accéder au serveur juridique.

Dans notre exemple :

  • Le réseau légal (192.168.1.0/24) est autorisé

  • Le réseau HR (192.168.2.0/24) est refusé.

  • Le serveur Legal (192.168.3.1) est la destination.
    Nous appliquerons l'ACL sur l'interface G0/0, qui se connecte au serveur de destination.

Comment appliquer l'ACL

Nous allons maintenant appliquer le numéro ACL 10 que nous avons créé précédemment.

Étape 1 : Entrer dans le mode de configuration de l'interface

R1(config)# int g0/0

Étape 2 : Vérifier les options ACL disponibles

Utilisez la commande ip access-group. Le routeur vous indiquera les formats pris en charge :

R1(config-if)# ip access-group ?
  <1-199>      IP access list (standard or extended)
  <1300-2699>  IP expanded access list (standard or extended)
  WORD         Access-list name

Étape 3 : Appliquer l'ACL 10 dans la direction sortante

Étant donné que le trafic est dirigé vers le serveur, nous l'appliquons à la sortie :

R1(config-if)# ip access-group 10 ?
  in   inbound packets
  out  outbound packets
R1(config-if)# ip access-group 10 out

Résumé

Ce qu'il faut faire

Pourquoi

Appliquer l'ACL sur l'interface de sortie

Étant donné que les listes de contrôle standard ne vérifient que l'IP source

Utiliser ip access-group 10 out

Pour activer l'ACL sur le trafic sortant

Votre ACL est maintenant active et filtre le trafic sur l'interface comme prévu.

4. Vérification des ACL standard

Après l'application de l'ACL, il est important de vérifier que:

  1. L'ACL est correctement rédigée

  2. L'ACL est correctement appliqué à l'interface

Cisco fournit deux commandes à cet effet.

Étape 1 : Vérifier le contenu de l'ACL

Utilisez la commande suivante pour afficher les règles ACL :

R1# show access-lists 10
Standard IP access list 10
    10 permit 192.168.1.0, wildcard bits 0.0.0.255
    20 deny   192.168.2.0, wildcard bits 0.0.0.255

Cela le confirme :

  • ACE 10 : Le trafic en provenance de 192.168.1.0/24 est autorisé.

  • ACE 20 : Le trafic en provenance de 192.168.2.0/24 est bloqué

Étape 2 : Vérifier si l'ACL est appliqué à l'interface

Utilisez la commande suivante pour vérifier que l'ACL est bien active sur l'interface du routeur :

R1# show ip interface g0/0
GigabitEthernet0/0 is up, line protocol is up
  Internet address is 192.168.3.254/24
  Broadcast address is 255.255.255.255
  Address determined by setup command
  MTU is 1500 bytes
  Helper address is not set
  Directed broadcast forwarding is disabled
  Outgoing access list is 10
  Inbound  access list is not set
  Proxy ARP is enabled
// OUTPUT OMITTED FOR BREVITY

Cela le confirme :

  • L'ACL numéro 10 est appliquée dans la direction sortante.

  • Il est actif sur l'interface G0/0, qui se connecte au serveur de destination.

5. Conclusion

Ce qu'il faut retenir des ACL standard

Concept clé

Description

Ce qu'il filtre

Seule l'adresse IP source

Impossible de filtrer

IP, protocoles ou ports de destination

Meilleur Emplacement

Le plus près possible de la destination

Évaluation des règles

De haut en bas - le premier match gagne

Comportement par défaut

Se termine par un refus implicite de l'accès à tous

Plage de numéros

1–99 or 1300–1999

Maintenant que vous avez compris le fonctionnement des ACL standard, passons aux ACL Extended et apprenons à filtrer le trafic en fonction non seulement de l'IP source, mais aussi de la destination, du protocole et du numéro de port