&y Damien. SO Boaouon ACL Wildcard Masking : Une Fonctionnalité Essentielle des ACL dans I’IlOS Cisco Une ACL, quisignifie Access Control List, est une fonctionnalité cruciale de 10S Cisco utilisée pour identifier et gerer le trafic réseau. ACL Wildcard permet a un administrateur de créer un ensemble de ragles qui autorise ou interdit n'importe quel type de trafic basé sur les informations contenues dans le paquet IP. Les ACLs peuvent étre déployées sur des routeurs ou des switchs pour fournir un contréle granulaire du trafic. Opération des ACLs Le fonctionnement d'une ACL est caractérisé par son analyse séquentielle des en-tétes de paquets IP. Chaque ACL est évaluée rune apres l'autre, permettant ainsi de décider si le paquet doit étre autorisé ou non. Ce processus se poursuit jusqu’a ce qu'une régle applicable soit trouvée ou que le paquet atteigne l/ACL implicite de refus@ la fin de la liste, Packet Ready for ACL Processing eles et ACL Wildcard Masking : Définition et Utilisation Llutilisation des "ACL Wildeard Masks", au masques in ‘ses, est fondamentale pour identifier spécifiquement un sous-réseau ou une plage d'adresses IP. Cette technique est essentielle pour des protocoles tels que OSPF et pour le NAT, oU les "ACL Wildcard Masks" jouent un rdle clé. Les "ACL Wildcard Masks" sont particuliérement utiles pour spécifier les adresses IP qui correspondent a des criteres definis, grace & leur logique de bits ou un bit 40 signifie verifier la correspondance et un bit 8 1 signifie ignorer la correspondance dans l'adresse. Exemple Pratique d'Utilisa n d'un ACL Wildcard Mask Considérons un réseau 193.62.3164 avec un ACL Wildcard mask de 0.0063, llustrant un masque /26 Cela permet une flexibilité dans la sélection des adresses IP, rendant possible linclusion d'une garnme dadresses dans le réseau spécifié. Calcul Rapide des ACL Wildcard Masks Pour faciliter le calcul des "ACL Wildcard Masks’, la méthode de soustraction a partir des masques de cous-réseau standards est souvent utilise. Cette approche simplifie la détermination des masques inversés nécessaires pour des configurations spécifiques d/ACL, Types d'ACL et Configuration Permet dlanalyser du trafic en fonction de: + Adrozee IP source ‘Acresse IP source ‘Acresse IP destination Protocole (tep, udp, iemp, ..) Port source Pert destination Ete Les ACLs standard sont @ epoliquer le plus proche Les ACLs etendues sont @ applquer Ie plus _poasible dela destination en raicon de leur faible ‘proche poasible dela source, precision Il existe deux principaux types ACL = Les ACL standards vérifient les adresses sources des paquets pouvant étre acheminés. Le Tesullal aututise Gu refuse la surtie dune suite de protucoles entire, Lasee sur le réseau source, le sous-réseau ou Itadresse IP de Ihéte. Elles sont numérotées de 1 99 et de 1300 a 1999. En général, on les appliquera principalement le plus proche possible de la destinati raison de leurs faibles précisions. * Les ACL étendues verifient les adresses oi her ce qui permet aux administrateurs plus de flexibilité et de controle. Elles sont numérotées de paquets source et de destination. lls peuvent jalement re er des protocoles spécifiques, des numéros de port et d'autres paramétres, 100 & 199 et 2000 a 2699. Les étendues sont plutet a appliquer le plus proche possible de la ACL Standarc configuration Les ACL standards se configurent sur un routeur Cisco en mode de configuration globale. La commande « access-list » permet de créer une entrée ACL. X(config)# access-list 1 permit 172.16.0.0 9.0.259.299 * 1721600 avec un masque inverse de 0.0.2 fois 255 signitie nimporte quelle adresse source qui commence par 17216. © Une ACL standard est numerotée de 1 8 $9, ou de 1300 4 1988, ici dans I'exemple nous avons choisi le La sortie de la commande show access-list affiche les ACL actuellement configurées. -0.0, witdeard bite ¢.0.288.285 list + son numéro d’ACL on Pour supprimer entiérement une ACL, il faut fai no access-| mode de configuration globale. Rewer (contig) # no aoc RovverK (contig) exit Roveerxe show access-list aise 1 Utilisez de nouveau la commande show access-list permet de confirmer que ACL « une » a bien té supprim . Une ACL pouvant contenir plusieurs lignes, il niest pas possible de supprimer une: ligne individuellement... Le no accesslist_ avec son numéro supprime tout le contenu de ACL. Lunique maniere dieniever ou de modifier une ACL serait de copier !ACL totale dans un editeur de toxto, de faire les changements nécessaires, ensuite supprimor !/ACL du routeur avec la commande no access-list et de copier /coller !ACL modifi de 105 permettent une. & partir de 'éditeur de texte. Les nouvelles versions ition plus simple en utilisant une numérotation séquentielle. Filtrage du Trafic avec les ACLs La nécessité dimplementer un filtrage du trafic réseau pour limiter ou restreindre l'accés sur une ressource réseau est une téche commune pour les administrateurs réseau. ACL permet de tétes de paquets de la couche 3, mations dien contrdler l'acces en fonction des i Ici, nous souhaitons restieindre laces internet au PC2 Pour cela, il est possible dimplémenter le filtrage du trafic sur le routeur soit en entrée sur l'interface qui est connectée au réseau local, soit en sortie sur interface connectée a Internet. En utilisant une ACL standard, il est ssible dampécher les paquets de PC2 d'entrer ou de sortir du routeur. II ne faudra pas oublier d'autoriser explicitement le trafic des autres périphériques du réseau local, car nous voulans appliquer cette régle uniquement au PC Pour ce faire, il y a 2 endroits of il est possible de placer ACL Soit en entrée, soit en sortie du routeur. = Pour une ACL sortante ; les paquets entrants sur le routeur sont acheminés vers interface de sortie puis sont traites via ACL sortante. Si les paquets sont autorises, ils sont transmis @ , ils seront interface. Si les paquets ne sont pas autorisés ou qu'il y a aucune correspondan © Etpour une ACL entrante : jes paquets entrants sont traites par ACL avant d'etre achemines vers linterface de sortie. Dans ce cas, ACL entrante est efficace, car elle évite au routeur diacheminer le paquet @ la sortie pour qu’au final il soit supprimé... Si le paquet est autorisé alors il sera traité pour le routage. Sur cette image, 'ACL est placée sur l'interface de sortie. (On voit le paquet arrivé sur l'interface entrante nommé EO, puis il est traité par le routeur. Comme il reconnait le réseau, il effectue le routage vers son interface de sortie. C'est Ia que TACL wildcard entre en jeu. Si c'est accordé, le paquet tira par l'interface SO, et sil n'est pas autorisé, il era supprime. Afin d’éviter que le routeur applique le routage pour des paquets qui seront au final supprimés, il est plus judicieux de placer I/ACL wildcard en entrée, plutot qu’en sortie, Inbound Outbound Interface | Interface Packets Eo Packet Notify Sender Secea (yp NOH Bucket Application des ACLs aux Interfaces Aprés avoir configuré une ACL, il faut l'appliquer 4 une interface & l'aide de la commande IP access- group. Une seule ACL n'est autorisée par protocole, par direction et par interface IP access-group 1.cut, applique L’ACL 1 sur l'interface en sortio Brench (contig-if] #1p aocess-group 1 out IP access-group 2 out applique L’ACL 2 sur linterface en entrée Brancn (contsg-3f) #1p access-groap 2 1n Pour supprimer une ACL d'une interface, il faut utiliser la m@me commande avec le « ne », pletement, il faut comple! commande par un ne access-list dans le mode de configuration globale. directement sur linterface, puis si on veut la supprimer con lly a seulement 3 étapes pour mettre en service une ACL: + 1 Tout c'abord, i faut erée une entrée ACL en mode de configuration globale Par exemple cette ACL correspond a n'importe quelle adresse qui commence par 10.11 2: Ensuite il faut choisir Vinterface ols l'on souhaite appliquer cette ACL Branch (config) interface Gigabitethernet 0/0 Pour cela il suffit de se connecter sur l'interface. Dans l'exernple on prend le gigabit ethernet 0/0 = 3:et pour finir, il faut utiliser la commande IP access-group pour |'activer. Branch(config-if}# IP access-group Tin Dans exemple, ACL est positionnee en entrée de interface. Prenons un exemple, nous souhaitons refuser 'acces a internet pour 'hote PC2 qui porte IIP 1011101 tout en autorisant les autres PC de ce méme LAN, Branch (contig) #acces Eranch (config)# access-list 1 permit 10.1.1.0 0.0.0.255 Eeenck (contig)# interface Gigabitetherest 0/1 Erench (emeig-ig)# Sp accesa-growp 2 owe Comme la lecture d'une ACL se fait de haut en bas, nous allons créer la premiere entrée en refusant le PC2 ot la seconde en autorisant tout le LAN 10.11.0/24 Ensuite nous appliquons cette ACL a l'interface Gl0/1 en sortie. lest important de specifier une ligne qui autorise tout le reste du réseau, car implicitement pour des raisons de sécurité, la derniére entrée refuse tout passage. En gros si aucune entrée n'est matchée, le paquet est supprime. Vous remarquerez que ACL a été placé en sortie du routour. On aurait pu également la positioner munication de PC2 avec Internet, directeme mais également toute t sur entrée GIO/0. Cela empécherait toujours la co mmunication avec le routeur. Util ation des ACLs Nommées pour une Gestion Simplifiée Au lieu je déclarer ACL standard par un numéro compris entre 1 3 99 et 1300 & 1999, il est possible de lui affecter un nom. Cela permet d'avoir une description sur la fonction de ACL. Trés utile quand on en a plusieurs Dans le mode de configuration global, ja commande IP access-list standard + le nom. permet de déclarer une ACL nommée. Branch (ecntag)# 1p acoe st standare subnet ONLY erait 10.1-1-0 0.9.0.255 Le nom qu‘on attribue a 'ACL (ici Subnet_ONLY) doit étre unique. © Chaque ligne qu’on rentre dans une ACL est numérotée a partir de 10 et inerémentée de 10 pour les sulvantes, * La commande no 10 dans I'ACL supprime seulement la ligne numérotée en 10. Ainsi, evantage des ACL nommeées est quill est possibie de supprimer ou modifier une ligne sans devoir supprimer I'ACL en entier Pour rattacher une ACL nommeée sur une interface, il sagit de la méme commande sauf qu’a la place du numéro, on met le nom, ag-25)$ 1p acces group subtet_owLy 2m, Nommer une ACL permet de mieux comprendre sa fonction. Par exemple, une ACL qui refuse un sous-réseau peut étre appelée "NO_Subnet’ Sur cette image, |e résultat de la commande « show access-lists » affiche directement les commandes qui ont été utilisées pour configurer ACL standard, qui est nommée Subnet_ONLY sur le routeur Branch. LACL permet le trafic des hétes sur le sous-réseau 10.1.0/24. Admettons que nous souheitons maintenant refuser l'accés uniquement a héte 101.25, comme les ACL nommeées permettent cette fois-ci d’ajouter, de modifier ou de supprimer des entrees individuelles dans une ACL spécifique. pier eanity contin eisinal tiyt ip seseae-iist cvasanre Sunact On Sram fori tectansl t's cusy tae ia, a 3 deny hose 10.1.2, Ilest alors possible d'utiliser des numéros de séquence pour insérer une instruction od on souhaite dans ACL. Par défaut, la premiere entrée de ACL a été nommée 10. Dans exemple, on insére une entiée qu'on nomme 5 pour interdire le PC 1011.25. On s'apercoit bien que linsertion de cette entrée siest faite au-dessus de la premiare instruction quia été rentrée. Siun reds omen marrage de léquipement a lieu, automatiq les numéros de sequence se mettront jour et suivront leurs incrémentations de base par 10. rmit aura le chiffre 20. Ce qui veut dire que le deny host portera le chiffre 10 et le p la redémarr mmmande access-list resequence permet ia mise a jour de ces sequences sans faire deFonctionnement ACL (Acces Control List) Le fonctionnement ACL vous happe? Cet article est fait pour vous. "* Adresse IP source oa ‘+ Adresse IP source ‘= Adresse IP destination + Protocole (tep, udp, iemp,..) chaine de caractores alphanumeriques Ip access-list standarcimonacl, ip access list extended monACL LES ACCESS LISTS Nous alions voir ensemble le fonctionnement Dans un monde pai nfiance en nim ito nous pourrions avoir romperait, eh bien nous naurions pas besoin de sécurité. te qui et/ou personne ne Mais dans la vraie vie, de mauvaises choses peuvent arriver a notre réseau, clest pour ca que nous devons le protéger. Les ACL sont des outils puissants utilisés pour filtrer le trafic réseau, permettant ou refusant le passage de paquets de données en fonction de regles spécifiques. Elles sont essentielles pour définir des politiques de sécurité, contrélor 'accés aux ressources réseau et minimiser les risques d'attaques. Par défaut, tous les paquets IP sur un routeur sont routés, il n'y a pas de restrictions. Grace aux Access lists, il sera pos: routeurs! le d'empécher cert: 1S paquets IP d’entrer ou de quitter nos Les 4 20s d'aceés fonctionnent sur la couche réseau : la couche 3, ot la couche transport: Is eouche Une ACL est une liste de ragles qui permet de filtrer ou d’autoriser du trafic sur un réseau en fonction de plusieurs critéres, par exemple de l'adresse IP, du port ou méme en fonction du protocole ! Elle permet soit d’autoriser le trafic, dans ce cas |ACL commencera par le mot « Permit », soit de le bloquer avec Ie mot « deny » || est possible d'appliquer au maximum une ACL par interface et oar sens, cest-a-dire soit en entrant ou soit on sortant voc los mots input ot output! VACL est analysée par IOS de haut en bos Dés qu'une régle matche avec le paquet, il est soit autorisé, soit supprimé ! Et le reste de ACL ne sera pas analysé. Une ACL (Access Control List) est concue pour filtrer Ie trafic réseau en fonction de ragles spécifiques. Cheque régle au sein d'une ACL permet ou bloque certains paquets de données basés sur leurs caractéristiques. Si un paquet de données ne correspond a aucune des régies établies dans V/ACL, il attaint la demiére ligne de ACL. Cette derniére ligne, présente par défaut, bloque tout fi) trafic non identifié, assurant ainsi une sécurité supplémentaire. Rene Eve Reel (eter) Par exemple, sur ce routeur, un paquet IP arrive sur interface Fa 0/0. # Le paquet sera analysé par ACL entrante + Sile paquet matche avec une régle Deny, alors il sera supprimé. + Sill matche avec une ragie permit, slors il pourra passer et le routeur le prendra en charge ! + Le routeur décide de router ce paquet vers I'interface Fa0/1 « La aussi ily a une ACL, mais cette fols-ci,elle est placée en sortie! « Sile paquet est autorisé alors il continuera son chemin. + Sinon il sera supprimé! Déti is Techniques sur le Fonctionnement des ACL Les ACL peuvent étre configurées pour travailler sur différents critéres, tels que les adresses IP sources et de destination, les numéros de port TCP/UDP, et meme les types de protocole comme ICMP, TCP, et UDP. Cette flexibilité permet aux administrateurs de créer des politiques de sécurité trés spécifiques. Par exemple, une régle d’ACL pourrait autoriser le trafic HTTP entrant vers un serveur web tout en bloquant toutes les autres formes de trafic, ou encore permettre les connexions SSH 8 partir d'un ensemble restraint d'adrasses IP pour la gestion a distance, tout en refusant lacces a tout autre trafic entrant. Il existe doux types d’ACL: LACL Standard qui permet danalyser le trafic au’en fonction de ladresse IP source. ELIACL étendu qui, lui, © met dianalyser le uafic en fonction de plusieurs criteres ! Les ACLs standard sont 4 apo! faible précision. liquer le plus proche possible de la destination, en raison de leur Et Les A€Ls étendues sont 4 appliquer le plus proche possible de la source. Dans Ia configuration d'une ACL, il est possible de identifier par un nombre ou bien par un nom sous la forme dune chaine de caractéres alphanumériques. Si on souhaite lui attribuer un numéro, alors la commande sera « access-list », et si on souhaite la nommer alors ce sera « ip access-list » | Lorsqu'une ACL contient plusiours ragles, liste et les enfin de lis génériqui Le plus simple est de créer son ACL dans un éditeur de texte ot de |s configurer par un copier/coller pour éviter les erreurs L importance Stratégique des ACL dans la Sécurité Réseau Pour les individus soucieux de la sécurité de leur réseau, comprendfe le fonctionnement ACL. (Access Control Lists) est primordial. Cos listos de contréle d'accés constituent une barridre de sécurité cruciale, permettant aux administrateurs de réseaux de définir avec précision qui peut accéder a quelles ressources au sein dun réseau. En filtrant le trefic selon des critéres spécifiques, les ACL offrent une méthode efficace pour prévenir les accés non autorisés et les attaques potentielles. Elles jouent un rdie essentiel dans la protection des données sensibles et la préservation de lintégrité des systemes c'information. Les ACL ne se limitent pas & la simple autorisation ou au blocage du trafic; elles permettent également une gestion fine des permissions en fonction du type de trafic, de heure de la journée, ot d'autres veriables Cette capacité & personnaliser 'accés rend les ACL extrémement utiles dans des environnements ol les besoins de sécurité varient considérablement. De plus, limpiémentation des ACL peut se faire de maniere dynamiaue, s'adaptant aux changements dans les politiques de sécurité ou aux exigences spécifiques des applications La mise en piace et la gestion des ACL necessitent une compréhension approfondie des protocoles réseau ot des stratégios do sécurité. Les administratours doivent réguli@roment réviser et mettre 3 Jour les listes pour s'assurer qu'elles reflétent les politiques de sécurité actuelles et quielles protégent efficacement contre les menaces émergentes. Cela inclut la suppression des autorisations obsolates et 'ajout de ragies pour contrer les nouvelles vulnérabilités Enfin, bien que les ACL soient puissantes, elles doivent etre integrées dans une stratégle de sécurité globale. Combinées a d'autres outils de sécurits comme les pare-fou et les systémes de prévention dintrusion, elles forment une défense en profondeur, essentielle pour protéger contre une multitude de menaces et renforcer la confiance dans la sécurité des systemes d'information. La compréhension approfendie et application judicieuse du fonetionnement ACL sont donc cruciales pour toute stratégie de sécurité réseau efficace. irs décactiver une ACL sur une inter ‘2 avant de ja mad st canseillé de toujo fierConfiguration ACL standard ACL STANDARD : CONFIGURATION Le Configuration ACL standard s'effectue sur un routeur, directement dans configuration globale 1s implique lajustement pr Configuration ACL pour 2 fois 0. 2 fois « 255 show access-list’ permet de visualiser la Configuration ACL oa Standard IP access list 1 ty) AAT telectee Mele) Pour supprimer une ACL, il faut faire un. ne access-list + son numéro diACL ode de Routeur(config)# Routeur(config)# Etsi on refait un « show access-list », cela nous confirn Le «ne ae ie Numéro de I’ACL, supprime tou La seule maniére d'enlever ou de modifier une ACL cer: de supprimer ACL sur Ie routeur et de copier/ coller 1a nouvelle ACL quon = Méditeur de teate Sur les nouvelles versions de I'l0S, 'écition dune A\ Grace 8 ACL, LACL permet de contréler laccés en fonction des informations de couche 3, qui sont contenues dane tenciees alr pagqUeeIE Avec une ACL standard, il est possible d’empécher des paquets IP soit dientrer, soit de sortir du 192.168.1.1/24 ACL sortante LACL N¢T sur LACL NP2 5\ ‘On va prondre un exemple. Fa0/0 Feo/t 192.168.1.1/24 Tres Non Sur cette topologie, nous so © |1P 192.168.11, tout e autorisant les autres PC de ce méme LAN CL se fait de haut en bas, nous allons cree een refusant le PC ) autorisant tout le LAN 192.168.1.0/24 Ne ise Ure te Malet Routeur(config)# Ww Routeur(config)# . C’est pourquoi dans notre exemple, il était important d'ajouter une ligne qui autorise tout le reste du réseau. qui i nd Routeur(config-std-nacl)# Routeur(config-std-nacl)# Le principal avantage d'une ACL nommeée, c'est que chaque ligne qu'on rentre est numérotée & partir de 10 et incrémentés de 10 pour les suivantes. Note ligne « deny » portera le 10 et la ligne en dessous sera numérotée «20 elie Ayelet lceM elaaecee is Routeur(config)# Oise etree Ceara td Routeur# = SCCM aaa oes show ace’ 192.168:1.2, 0 chittre interteur a 20. Routeur(config)i# Rout Dans "exemple, on a pris le numéro de séquence 5. n, sion refait un « show access-lists », paur netre dermiére AC placé Routeur# « = Standard IP access list On peut aussi trés facilement supprimer une seule ligne de ACL, = 1 Routeur(config-std-nacl)# no complétement, en faisant simplement un «no eroConfiguration ACL étendue Gao Go CONFIGURATION D'UNE LISTE D'ACCES Nous allons voir les différentes commandes pour configurer des ACL Standard et des ACL étendue. Pour une ACL standard au format numérique, on utilisere la commande « access-list » pour entre CLune par une ACL numérique standard R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255 Rat (cond irlasece Cle 192.168.0.0 0.0.3.255 R1(config)#access-list 1 permit any Jans exemple, on choisit 'aecess list Tet on lui declare 3 lignes « La premiere autorise tout le ré 1255 La seconde refuse tout le réseau de la 1.0 la 3255 # Ella demiere autorise tout le reste S'il n'y avait pas eu la troisiéme ACL, alors défaut « deny any any oar la régle par e méme sauf qu'on nomme I'ACL avec la commande « ip «Mon ACL access-list standard ACL nommee standard Pel VAAL R1(config}#ip access-list standard R1(config-std-nacl)#permit 192.168.1.0 0.0.0.255 aN Cela -ecieom ills 192.168.0.0 0.0.3.255 R1(config-std-nacl#permit any Ensuite, il ne reste plus qu’a insérer nos ACL dedans! Le commande « show access-lists ut mmande, on liser toutes les ACLs, les. Cela permet aux administrateurs r ot do s'assurer que les politiques de sécurité sont correctement appliquées ot fonctionnent comme prévu Vérification des ACLs Ri#show access-lists Standard IP access list 10 permit 192.168.1.0, wildcard bits 0.0.0.255 0) 192.168.0.0, wildcard bits 0.0.3.255 30 permit any Standard IP access list 10 permit 192.168.1.0, wildcard bits 0.0.0.255 vit) 192.168.0.0, wildcard bits 0.0.3.255 30 permit any simplement pour pouvoir ajouter d’autre ACL entre-deux. Passons maintenant au ACL étendue. Une ACL étendue standard, Alors quu ructure plus sophistiquée par entre principalement su ACL étendue offre la capacité de filtrer le trafic < es TcP/ UP... | [ Permit /deny | « Adresse + masque inversé » OU « Host 192.168.0.1 » OU « Any = Tout » > « Action » il ne peut y avoir que « permit » ou « deny ». Le champ protocole p2rm=t de s; Et les champs de l'IP source ou destination comp > mot « Any » qui signifie: n'importe quelle source ou destination Voici maintenant un exemple de configuration d'une ACL étendue, numérique et nommée ! ACL numérique étendue Cee ures Pt rer R1(config)#access-list permit iemp 192.168.0.0 0.0.0.255 host 192.168.1.2 ACL nommée étendue deny any any. R1(config)ip access-list extended R1(config-ext-nacl}itpermit tep any host 192.168.1.2 eq 80 R1(config-ext-nacl)#permit icmp 192.168.0.0 0.0. 5 host 192.168.1.2 et exemple, notre premiere ACL a ort 80, de toute: Phéte 192,168.12, qui cst probabler la seconde ACL autorise le réseal de 192.168.0.0 a .255, 3 envoyer des requétes ICMP ve" Phéte 192.168.1.2 Tout le reste sera refusé avec la régle deny any any par défaut ! Pour vérifier les ACL étendus, la commande est la méme que pour une ACL standard « show access-lists ». Vérification des ACLs Est re wmelaaecte cs) Extended IP access list 10 permit tep any host 192.168.1.2 eq www 20 permit igmp 192.168.0.0 0.0.0.255 host 192.168.1.2 Extended IP access list manACLetenduc 10 permit tep any host 192.168,1.2 eq www 20 permit iemp 192.168.0.0 0.0.0.255 host 192.168.1.2 n sortio en entrée es ACLs standard sont @ appliquer le plus proche possible de la destination, en raison de leu ACLs étendues pute des do 1 le plus proche possible de la source. Pour éviter Appliquer une ACL sur une interface en entrée ESRC ois ANCA Lom SCANT T ANT a0) O) R1(config-if}#ip access-group 1 in Appliquer une ACL sur une interface en sortie R1(config)#interface fastethernet 0/1 R1(config-if}#ip access-group 100 out ip accoss-group » por sit G'appliquer ACL N° sur l'interface 0/0 en entrée ot ’ACL étendue numéro 100 sur Vinterface 0/1 en sortie Vérification des ACLs appliquées sur une interface R1#show ip interface fastEthernet 0/0 FastEthernet0/0 is up, line protocol is up Outgoing access list is 100 eee eee See nce un « shew ip interface » sur la 0/0, on peut voir que ACL 1 est appliquée en entrée, et la 100 est appliquée en sortie. désactiver une ACL sur une interface, il suffit de la supprimer avec un « ne » devan ply lod tae at NGM RUT at -Ml ale) ai-le-) Ri(config)#interface fastethernet 0/0 R1(config-if}#no ip access-group 1 in R1(config-if}#no ip access-group 1 out est aussi possible d'appliquer une ACL directement sur des lignes virtuelles avec |e corr access-class », pour autoriser un administrateur 3 se connecter sur un route Appliquer une ACL sur les lignes VTY R1(config}#line yty 0 4 R1(config-if)#access-class 1 in Voyons maintenant comment modifier une ACL. WN feleliit-tm law -\el Ri#show access-lists Slee Marleen cs 10 permit 192.168.1.0, wildcard bits 0.0.0.255 20 192.168.0.0, wildcard bits 0.0.3.255 30 permit any ons notre ACL1 qui autorise le réseau 192.168.1.0. He eer ee CTE R1# (config) #ip access-list standard Pa eciemurlal ii eat) R1(config-std-nacl)# 15 permit 192.168.2.0 0.0.0.255 Dans ce cas, on supprime d'abord I'ACL qui porte le numéro de séquence « 10 » et on ajoute notre ragle avec le numéro de séquence « 15 » Sion refait un « show access-lists », on peut voir que la mocitication a bien ete traitee Ri#show access-lists Standard IP access list 15 permit 192.168.2.0, wildcard bits 0.0.0.255 20 192.168.0.0, wildcard bits 0.0.3.255 BLN ia LiN pour finit, Sion souhaite supprimer une ACL nommée, on utilisera la commande « no access- list » avec le type d'ACL et lo nom qu'il porte. Modifier une ACL Palen arin ae coe he Ri(config)#no ip access-list standard une ACL numérotée, ce sere « no access-list » + le numéro de I’Access List !