Cours de Routage &

Commutation
L3 Systèmes, Réseaux et Télécoms
Année 2021/2022
Dr Diery NGOM
Enseignant-chercheur en Informatique
Département TIC-UFR SATIC-UADB
Contact : [email protected]

22/06/2025 Cours de Routage & Commutation-L3 SRT/ 1

UADB-Année 2022-Dr Diery NGOM
Chapitre 4 : Les ACL (Access List
Control)

Cours de Routage & Commutation-L3 SRT/UADB-Année 2022-Dr Diery NGOM

22/06/2025 2
 Plan
 Définition
 Vérification des paquets
 Création des ACL
 Les différents types d’ACL
 Assignations des ACL aux interfaces
 Numéros d’ACL et masque générique
 ACL standard
 ACL étendue
 ACL nommée
 Vérification des ACL
22/06/2025 Cours de Routage & Commutation-L3 SRT/ 3
UADB-Année 2022-Dr Diery NGOM
 Les ACL permettent à un administrateur de gérer
le trafic et d'analyser des paquets particuliers.

Les ACL sont associées à une interface du

routeur, et tout trafic acheminé par cette
interface est vérifié afin d'y déceler certaines
conditions faisant partie de la liste de contrôle
d'accès.

Les ACL peuvent être créés pour tous les

protocoles routés. Il faut donc définir une liste de
contrôle d'accès dans le cas de chaque protocole
activé dans une interface pour contrôler le flux de
trafic acheminé par cette interface.
22/06/2025 Cours de Routage & Commutation-L3 SRT/ 4
UADB-Année 2022-Dr Diery NGOM
 Vérification des paquets
Lorsque le routeur détermine s'il doit
acheminer ou bloquer un paquet, la plate-
forme logicielle Cisco IOS examine le paquet
en fonction de chaque instruction de
condition dans l'ordre dans lequel les
instructions ont été créées.

Si le paquet arrivant à l’interface du routeur

satisfait à une condition, il est autorisé ou
refusé (suivant l’instruction) et les autres
instructions ne sont pas vérifiés.
22/06/2025 Cours de Routage & Commutation-L3 SRT/ 5
UADB-Année 2022-Dr Diery NGOM
 Remarque
Si un paquet ne correspond à aucune
instruction dans l’ACL, le paquet est rejeté.
Ceci est le résultat de l’instruction implicite
deny any à la fin de chaque ACL.

22/06/2025 Cours de Routage & Commutation-L3 SRT/ 6

UADB-Année 2022-Dr Diery NGOM
 Création des ACL
Pour créer une ACL, il faut :

 Créer l’ACL en mode de configuration globale;

 Assigner cette ACL à une interface du routeur.

Structure d’une ACL :

Router(config)#access-list <numéro-ACL>
{permit
|deny} <instructions>
22/06/2025 Cours de Routage & Commutation-L3 SRT/ 7
UADB-Année 2022-Dr Diery NGOM
 Les différents types d’ACL
Il existe 3 types de liste de contrôle d’accès : les
ACL
standards, les ACL étendues et les ACL
nommées.
Les ACL standards utilisent des spécifications
d’adresses simplifiées et autorisent ou refusent
un ensemble de protocole.
Les ACL étendues utilisent des spécifications
d’adresses plus complexes et autorisent ou
refusent des protocoles précis.
Les ACL nommées peuvent être soit
standards, soit
22/06/2025
étendues ; elles ont pour but de8
Cours de Routage & Commutation-L3 SRT/
UADB-Année 2022-Dr Diery NGOM
 Assignations des ACL aux interfaces
Les ACL sont affectées à une ou plusieurs
interfaces et peuvent filtrer le trafic entrant ou
sortant, selon la configuration.

Une seule ACL est permise par port, par

protocole et par direction, c’est-à-dire qu’on ne
peut pas par exemple définir 2 ACL sur
l’interface E0 pour le trafic IP sortant. Par
contre, on peut définir une ACL pour le trafic
entrant et une autre pour le trafic sortant.
22/06/2025 Cours de Routage & Commutation-L3 SRT/ 9
UADB-Année 2022-Dr Diery NGOM
 Numéro d’ACL
Au moment de configurer les ACL, il faut
identifier chaque liste de protocole en lui
attribuant un numéro unique.

Le numéro choisi pour identifier une ACL doit

se trouver à l'intérieur d'une plage précise,
valable pour le protocole.

22/06/2025 Cours de Routage & Commutation-L3 SRT/ 10

UADB-Année 2022-Dr Diery NGOM
 Protocoles et numéros d’ACL

Plage Protocole

1-99 IP standard

100-199 IP étendus

22/06/2025 Cours de Routage & Commutation-L3 SRT/ 11

UADB-Année 2022-Dr Diery NGOM
 Par exemple, si l’on affecte le numéro 30 à
une ACL, cela veut dire que cette ACL sera de
type standard et concernera le trafic IP.

22/06/2025 Cours de Routage & Commutation-L3 SRT/ 12

UADB-Année 2022-Dr Diery NGOM
 Masque générique
Un masque générique est associé à une
adresse IP.

Les chiffres 1 et 0 sont utilisés pour indiquer

la façon de traiter les bits de l'adresse IP
correspondante.

Le 0 pour vérifier et le 1 pour ne pas vérifier.

22/06/2025 Cours de Routage & Commutation-L3 SRT/ 13

UADB-Année 2022-Dr Diery NGOM
 Exemple de détermination de masque
générique
 On veut vérifier (autoriser ou refuser) les sous
réseaux 172.20.16.0 à 172.20.31.0.

 Les deux premiers octets de l’adresse IP sont

identiques
16 s’écrit binaire : 0001 0000 et 31 en
binaire: 0001 1111.

 Les bits commencent à être différents à partir

du 4ème bit de ce 3ème octet. A partir de là on
met tous lesCours
22/06/2025
bits à 1 à Le masque générique 14
de Routage & Commutation-L3 SRT/
UADB-Année 2022-Dr Diery NGOM
 Création d’une ACL standard
Voici la structure d’une ACL standard :

Router(config)#access-list <numéro-ACL>
{deny |
permit} <adresse -d’origine> <masque
générique>

22/06/2025 Cours de Routage & Commutation-L3 SRT/ 15

UADB-Année 2022-Dr Diery NGOM
 Exemple de création d’une ACL standard

22/06/2025 Cours de Routage & Commutation-L3 SRT/ 16

UADB-Année 2022-Dr Diery NGOM
On veut interdire au réseau «LAN invité »
d’accéder au
réseau «LAN 1».

1ère étape : création de l’ACL:

RouteurA(config)#access-list 1 deny
192.168.1.0 0.0.0.255
Routeur A(config)#access-list 1 permit any

22/06/2025 Cours de Routage & Commutation-L3 SRT/ 17

UADB-Année 2022-Dr Diery NGOM
 Commentaire
Le numéro de l’ACL est 1 : il s’agit donc d’une
ACL ip standard.
L’adresse d’origine est 192.168.1.0 et le
masque générique est 0.0.0.255.
On a donc bien interdit (deny) tous les postes
du réseau 192.168.1.0/24.
La deuxième ligne permet d’autoriser (permit)
tout le reste (any), car n’oublions pas qu’il y a
toujours une commande implicite «deny any»
à la fin des ACL.

22/06/2025 Cours de Routage & Commutation-L3 SRT/ 18

UADB-Année 2022-Dr Diery NGOM
 2nd étape : affectation de cette ACL à
une interface du routeur :

Routeur A(config)#interface E0
Routeur A(config-if)#ip access-group 1 out

22/06/2025 Cours de Routage & Commutation-L3 SRT/ 19

UADB-Année 2022-Dr Diery NGOM
 Commentaire
Le routeur qui a été choisi est Routeur A. En
effet, avec les ACL standards, comme on ne
peut définir que l’adresse d’origine, alors on
place ces ACL au plus près de la destination. Si
on avait mis cette ACL sur le routeur B, on
aurait interdit l’accès à partir de ce routeur,
alors qu’on ne veut interdire que l’accès au
réseau «LAN 1».
L’ACL est définie en «out» : on interdit donc le
trafic provenant du réseau « LAN invité » à
sortir sur l’interface E0 du réseau «LAN 1».
Si on veut interdire du trafic à rentrer sur une
interface, onCours
22/06/2025 remplace «out» SRT/
de Routage & Commutation-L3
UADB-Année 2022-Dr Diery NGOM
par «in». 20
 Remarque
Si on ne définit ni «in» ni «out», la valeur
«out» est
prise par défaut.

22/06/2025 Cours de Routage & Commutation-L3 SRT/ 21

UADB-Année 2022-Dr Diery NGOM
 Création d’une ACL étendue
Voici la structure d’une ACL étendue :

Router(config)# access-list <numéro-ACL>

{permit |
deny} <protocol> <adresse-d’origine>
<masque générique> <adresse-destination >
<masque générique> <operateur-operande>
[established]

22/06/2025 Cours de Routage & Commutation-L3 SRT/ 22

UADB-Année 2022-Dr Diery NGOM
 Commentaire
Operateur-operande : lt, gt, eq, neq suivi
d’un numéro de port.

 Lt : pour lower than (plus petit que);

 Gt : pour greater than (plus grand que);
 Eq : pour equal (égal à);
 Neq : pour non equal (différent de).

Established permet au trafic TCP de passer si

les bits ACK sont activées.
22/06/2025 Cours de Routage & Commutation-L3 SRT/ 23
UADB-Année 2022-Dr Diery NGOM
 Exemple de création d’une ACL étendue

22/06/2025 Cours de Routage & Commutation-L3 SRT/ 24

UADB-Année 2022-Dr Diery NGOM
 Pour cet exemple, on veut refuser au
stagiaire d’accéder au serveur TFTP.

Routeur C(config)#access-list 100 deny

udp host
192.168.10.5 host 10.20.4.15 eq tftp
Routeur C(config)#access-list 100 permit
ip any any

22/06/2025 Cours de Routage & Commutation-L3 SRT/ 25

UADB-Année 2022-Dr Diery NGOM
 Commentaire
On remarque que le mot host a été tapé avant
les adresses IP. Ce mot permet d’éviter de
devoir taper le masque générique près
l’adresse IP.

eq tftp indique qu’il faut interdire le trafic

TFTP uniquement.
Le protocole indiqué est UDP qui est le
protocole de couche supérieure qui supporte le
service TFTP.
La deuxième ligne indique qu’il faut autoriser
tout le reste du trafic (IP) pour n’importe quelle
source (any)Cours
22/06/2025
vers n’importe
2022-Dr Diery NGOM quelle destination
de Routage & Commutation-L3 SRT/
UADB-Année
26
 Assignation de l’ACL aux interfaces :

Routeur C(config)#int E0
Routeur C(config-if)#ip access-group 100 out

On remarque que l’ACL a été placée sur le

routeur C, au plus proche de la source.
Les ACL étendues nous permettent de spécifier
l’adresse de destination, il est donc possible de
bloquer au plus vite les paquets non désirés, et
d’éviter qu’ils atteignent le routeur A, et donc de
ne pas polluer la bande passante du réseau.
22/06/2025 Cours de Routage & Commutation-L3 SRT/ 27
UADB-Année 2022-Dr Diery NGOM
 Les ACL nommées
Voici la syntaxe des ACLs nommées :
Routeur C(config)#access-list {standard |
extended} <nom-ACL> instructions
Reprenons l’exemple précédent, on peut
nommer cette
ACL «stagiaire» ce qui sera plus parlant qu’un
numéro.
On procède comme suit :
Routeur C(config)#access-list extended
Stagiaire deny
Udp Host 192.168.10.5 host 10.20.4.15 eq tftp
Routeur
22/06/2025
C(config)#access-list Stagiaire permit ip28
Cours de Routage & Commutation-L3 SRT/
UADB-Année 2022-Dr Diery NGOM
 Vérifications des ACL
Pour vérifier les ACL, on peut utiliser la
commande show access-lists pour afficher le
contenu de toutes les ACL.
On peut également utiliser la commande show
access-lists suivie du nom ou du numéro d'une
ACL pour afficher le contenu de cette liste de
contrôle d'accès.

22/06/2025 Cours de Routage & Commutation-L3 SRT/ 29

UADB-Année 2022-Dr Diery NGOM
 Exemple de vérification d’ACL
#show ip interface (pour afficher les ACL appliquées à l’interface)
Router#show ip interface fa 0/0.3
FastEthernet0/0.3 is up, line protocol is up (connected)
Internet address is 192.168.3.254/24
Broadcast address is 255.255.255.255
Address determined by setup command
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Multicast reserved groups joined: 224.0.0.9
Outgoing access list is 2
Inbound access list is not set
Ici l’ACL n° 2 est appliquée en out à l’interface 0/03

22/06/2025 Cours de Routage & Commutation-L3 SRT/ 30

UADB-Année 2022-Dr Diery NGOM