Cisco – Les différentes utilisations d’ACL (access-list)

L’idée la plus répandue sur l’utilisation d’une ACL est d’interdire ou bien permettre le passage de flux à travers un équipement (plus précisément un périmètre représenté couramment par une interface physique (port Ethernet) ou logique (SVI, « Cisco ») de couche 3 le plus souvent). Celle-ci se présente sous forme de règles basées généralement sur une source et une destination et potentiellement d’autres critères. D’autres éléments peuvent être ajoutés à une ACL, comme le type de protocole utilisé ou un ensemble de port de communication (couche 4).

L’access list ne se restreint pas uniquement à une utilisation destinée à permettre ou interdire un flux, ces règles servent également à identifier (matching) des flux. L’exemple concret est bien sur la règle de pare-feu proprement dit, hors son utilisation peut être utile dans le cadre d’une classification des flux en QOS, l’identification des flux dans le cadre de la mise en œuvre du PBR (Policy Based Routing ou routage par politique) etc ….

Le schéma ci-dessous décrit le principe de fonctionnement d’une liste de contrôle d’accès (ACL) :

 

 

Plusieurs types d’ACL (il faut plutôt les voire comme des formes d’implémentations) sont utilisées généralement par les équipements CISCO :

1.       R-ACL – Routing Access Control List

  • Exemples:
  1. Utilisée dans le cadre d’un filtrage discriminant d’un ou plusieurs flux à travers une interface routée, cas le plus couramment utilisé.
  2. Permettre l’identification d’un flux en vue d’influer sur une décision de routage (PBR / ROUTE MAP).

2.       V-ACL Vlan Access Control List

  • Exemple:
  1. Utilisé dans le cadre d’un filtrage discriminant d’un ou plusieurs flux à travers une interface routée de type SVI (Switched Vlan Interface). Pour être plus précis à travers le domaine de diffusion.

3.       P-ACL Port Access Control List

  • Exemple:
  1. Utilisée dans le cadre d’un filtrage discriminant d’un ou plusieurs flux à travers une interface physique routée ou non.

4.       QACL Qos Access Control List

  • Utilisé dans le cadre d’une classification en vue d’identifier un flux destiné à une politique de qualité de service.
    • Exemples:
  1. le coloriage d’un flux afin d’y appliquer une valeur DSCP.
  2. Identifier le flux destiné à une stratégie de type trafic shapping (déterminer le trafic intéressant).

Examples implementations:

RACL (Routing ACcess-List) :

Ces règles permettent d’appliquer un filtrage sur une interface de routage, c’est le cas des commutateurs dit de couche 3 et des routeurs.

Dans le cadre d’un filtrage des flux:

switch(config)#ip access-list extended VLAN_ADMIN
switch(config-ext-nacl )#remark access-list depuis VLAN_ADMIN vers les autres sous-réseaux
switch(config-ext-nacl )#permit ip 192.168.12.0  0.0.3.255 host 192.168.32.36
switch(config-ext-nacl )#permit ip 192.168.12.0  0.0.3.255 host 192.168.32.37
switch(config-ext-nacl )#permit ip 192.168.12.0  0.0.3.255 host 192.168.32.38
switch(config-ext-nacl )#permit ip 192.168.12.0  0.0.3.255 host 192.168.32.39
switch(config-ext-nacl )#permit ip 192.168.12.0  0.0.3.255 host 192.168.32.46
switch(config-ext-nacl )#permit tcp 192.168.12.0  0.0.3.255 host 192.168.32.190 eq smtp
switch(config-ext-nacl )#permit tcp 192.168.12.0  0.0.3.255 host 192.168.32.210 eq 8080
switch(config-ext-nacl )#deny tcp any host 192.168.22.254 eq telnet
switch(config-ext-nacl )#deny any any
switch(config–nacl )#exit
switch(config)#
switch(config)#interface vlan 20
switch(config-if)#ip address 192.168.12.254 255.255.255.0
switch(config-if)#ip access-group VLAN_ADMIN in

Dans le cadre d’une influence sur la décision du routage (PBR: Policy Based Routing):

L’utilisation d’ACL dans le cadre du Policy Based Routing permet d’influencer une décision de routage en fonction de la politique à appliquer pour un flow de données identifié par une access-list.

access-list 1 permit 198.166.167.168
access-list 2 permit 198.169.170.171
!
interface ethernet 1
ip policy route-map test
!
route-map test permit 10
match ip address 1
set ip precedence priority
set ip next-hop 198.166.167.168
!
route-map test permit 20
match ip address 2
set ip precedence critical
set ip next-hop 198.169.170.171

QACL (Qos ACcess-List) :

Ces règles sont créées pour appliquer une stratégie de qualité de service à un hôte ou un sous-réseau. L’utilisation d’ACL dans le domaine de la qualité de service permet notamment la classification et le marquage des flux (travail d’identification).

class-map match-any ipphone
match access-group 100
!
policy-map VOIP
class ipphone
set dscp ef
!
…………..
 
!
interface Vlan50
description VLAN TOIP
ip address 192.168.82.252 255.255.255.0
service-policy input VOIP
!
access-list 100 permit ip 192.168.42.0 0.0.0.255 host 192.168.82.31

VACL (Vlan ACcess-List) :

Ces règles sont appliquées dans le cadre d’un filtrage au sein d’un VLAN.

Exemple: tous les flux en port 80 seront supprimés sur le VLAN 10.

switch(config)# access-list 100 permit tcp any any eq 80
switch(config)#vlan access-map test 10
switch(config-access-map)#match ip address 100
switch(config-access-map)#action drop
switch(config-access-map)#exit
witch(config)# vlan filter test vlan-list 10

PACL (Port ACcess-List) :

Ces règles sont appliquées lorsque l’on souhaite filtrer l’accès à une interface routé ou non.

switch(config)# access-list 100 permit icmp any any
Switch(config)# access-list 100 permit tcp any 128.129.130.131 0.0.255.255 gt 1023
Switch(config)# access-list 100 permit tcp any host 1.2.3.4 eq 25
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# ip access-group 100 in
 
 

Il existe bien d’autres applications d’une ACL sur les équipements de routage/ commutation & sécurité de Cisco. Les autres constructeurs ont également une vision aussi large des listes de contrôle d’accès.

3 thoughts on “Cisco – Les différentes utilisations d’ACL (access-list)

  1. Ben

    Bonjour,
    Merci votre article.
    Quelles sont les commandes pour rendre une interface (pc administration) de sorte qu’elle puisse accéder à tous le vlan ?.

    J’aimerais que mon pc d’administration puisse accéder au vlan wifi, user, et management.

    Cordialement.

    1. admin

      Bonjour,

      Pouvez vous m’indiquer de quel type d’équipement il s’agit (firewall (pix, asa) routeur, commutateur ….) ?

      Cdlt,

  2. Ben

    Bonjour,

    Il s’agit d’un switch catalyst 3750.

    Cordialement.

Laisser une réponse

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *