M201 Acl

1
Prof: Hakima ECH-CHAD

E-Mail: HAKIMA.ECH-CHAD@ofppt.ma
H.ECH-CHAD
Année de Formation 2022-2023
2
Les protocoles de la couche 4
 Fonctionnement du protocole TCP.

 Fonctionnement du protocole UDP.
 Différents types de ports:
❖ Service
❖ client
H.ECH-CHAD
3
 Fonctionnement du protocole TCP:

Pour comprendre les différences entre les protocoles TCP et UDP, il est important de comprendre
comment chaque protocole utilise des fonctions spécifiques de fiabilité et comment il effectue le
suivi des communications.
 Protocole TCP (Transmission Control Protocol)
Le protocole TCP a été initialement décrit dans le document RFC 793. Outre la prise en charge
des fonctions de base de segmentation et de réorganisation des données, le protocole TCP, comme
l'illustre la figure, fournit également :
 des conversations orientées connexion en établissant des sessions ;
 un acheminement fiable ;
 une reconstitution ordonnée des données ;
 le contrôle de flux.
H.ECH-CHAD
4
 Fonctionnement du protocole UDP:

 Le protocole UDP est un protocole de transport d'acheminement au mieux, décrit
dans le document RFC 768. Le protocole UDP est un protocole de transport léger
qui offre les mêmes fonctions de segmentation et de réorganisation des données
que le protocole TCP, mais sans la fiabilité et le contrôle de flux du protocole TCP.
Les fonctionnalités suivantes constituent le protocole UDP :
 Sans connexion – le protocole UDP n'établit pas de connexion entre les hôtes
 Acheminement non fiable – le protocole UDP ne fournit pas de services
garantissant que les données sont acheminées de façon fiable.
 Aucune reconstitution ordonnée des données – parfois, les données sont reçues
dans un ordre différent de celui dans lequel elles ont été envoyées. Les données
sont reconstituées selon l'ordre où elles arrivent.
 Aucun contrôle de flux – le protocole UDP ne propose aucun service permettant de
contrôler la quantité de données envoyées par la source pour éviter de submerger
le périphérique de destination.
H.ECH-CHAD
5
L'en-tête de chaque segment ou datagramme contient un port source et un port de destination. Le
numéro de port source est le numéro associé à l'application d'origine sur l'hôte local pour cette
communication. Lorsqu'un message est transmis à l'aide du protocole TCP ou UDP, les protocoles et
services demandés sont identifiés par un numéro de port. Un port est un identifiant numérique,
présent dans chaque segment, qui est utilisé pour conserver la trace de certaines conversations et
de certains services de destination demandés.
❖ Port de destination
Le client place un numéro de port de destination dans le segment pour informer le serveur de
destination du service demandé. Par exemple, le port 80 renvoie au service HTTP ou Web.
Lorsque le client spécifie le port 80 comme port de destination, le serveur qui reçoit le message
sait que des services Web sont demandés. Un serveur peut proposer plusieurs services
simultanément. Par exemple, il peut proposer des services Web sur le port 80 et, en même temps,
l'établissement d'une connexion FTP sur le port 21.
❖ Port source
Le numéro du port source est généré de manière aléatoire par le périphérique émetteur pour
identifier une conversation entre deux périphériques. Ainsi, plusieurs conversations peuvent
s'effectuer simultanément. En d'autres termes, un périphérique peut envoyer plusieurs requêtes de
service HTTP à un serveur Web en même temps. Un suivi des différentes conversations est effectué
sur la base des ports sources.
H.ECH-CHAD
6
 L'Internet Assigned Numbers Authority (IANA) attribue les numéros de port. L'IANA est une
agence de normalisation responsable de l'affectation de diverses normes d'adressage.
 Il existe différents types de numéros de port, comme illustré à la Figure 1 :
 Ports réservés (numéros 0 à 1023) – Ces numéros sont réservés à des services et
applications. Ils sont généralement utilisés pour les applications telles que HTTP (serveur Web),
Internet Message Access Protocol (IMAP)/Simple Mail Transfer Protocol (SMTP) (serveur de
messagerie) et Telnet.
 Ports inscrits (numéros 1024 à 49151) – Ces numéros de port sont affectés à des processus
ou applications d'utilisateurs. Ces processus sont essentiellement des applications particulières
qu'un utilisateur a choisi d'installer plutôt que des applications courantes qui recevraient un
numéro de port réservé.
 Ports privés ou dynamiques (numéros 49152 à 65535) – Ces ports sont généralement
affectés de façon dynamique à des applications clientes lorsqu'une connexion à un service est
initiée par un client. Le port dynamique est très souvent utilisé pour identifier l'application
cliente durant la communication, alors que le client utilise le port réservé pour identifier et se
connecter au service demandé au serveur.
H.ECH-CHAD
7
 Utilisation du protocole TCP et du protocole UDP

 Certaines applications peuvent utiliser à la fois le protocole TCP et le protocole UDP. En effet,
la faible surcharge du protocole UDP permet au service DNS de gérer très rapidement de
nombreuses requêtes de clients. Parfois, cependant, l'envoi des informations demandées exige
la fiabilité du protocole TCP. Dans ce cas, le port réservé 53 est utilisé par les deux protocoles
en association avec ce service.
 Une liste à jour des numéros de port et des applications associées est disponible sur le site
Web de l'organisme IANA.
H.ECH-CHAD
Les ACLs
8
H.ECH-CHAD
1. Introduction :
9
 Les concepteurs de réseaux utilisent des pare-feu pour protéger les réseaux de
toute utilisation non autorisée. Les pare-feu sont des solutions logicielles ou
matérielles permettant de mettre en œuvre des stratégies de sécurité du réseau. un
pare-feu filtre les paquets non autorisés ou dangereux, les empêchant ainsi
d'accéder au réseau.
Sur un routeur Cisco, vous

pouvez configurer un pare-
feu simple, qui assurera les
fonctions de base de filtrage
du trafic à l'aide de listes de
contrôle d'accès. Les
administrateurs utilisent des
listes de contrôle d'accès
pour bloquer le trafic ou
n'autoriser qu'un trafic
spécifique sur leurs réseaux.
H.ECH-CHAD
1. Introduction : Filtrage des paquets
10
 Une liste de contrôle d'accès est un ensemble séquentiel d'instructions d'autorisation ou de

refus, appelées entrées de contrôle d'accès (ACE). Les ACE sont couramment appelées des
instructions de liste de contrôle d'accès.
 Lorsque le trafic réseau traverse une interface configurée avec une liste de contrôle d'accès, le
routeur compare les informations du paquet à chaque ACE, dans l'ordre séquentiel, afin de
déterminer si le paquet correspond à l'une des entrées ACE. C’est ce que l’on appelle le
filtrage de paquet.
 Le filtrage des paquets contrôle l'accès à un réseau en analysant les paquets entrants et
sortants, puis les transmet ou les rejette selon les critères donnés. Le filtrage des paquets peut
se produire à la couche 3 ou 4. Les listes de contrôle d'accès standard filtrent uniquement à
la couche 3. Les listes de contrôle d'accès étendues filtrent à la couche 3 et à la couche 4.
 Une fois qu'une correspondance est effectuée, les entrées ACE restantes dans la liste de
contrôle d'accès ne sont pas analysées.
 La dernière instruction d'une liste de contrôle d'accès est toujours implicit deny. Cette instruction
est automatiquement ajoutée à la fin de chaque liste de contrôle d’accès, même si elle n’est
pas physiquement présente. L’instruction implicit deny bloque l’ensemble du trafic. En raison de
ce refus implicite, une liste de contrôle d'accès qui n'a pas au moins une instruction
d'autorisation bloquera tout le trafic.
H.ECH-CHAD
2. Fonctionnement des listes de
11
contrôle d'accès IP
1. Types de listes de contrôle d’accès IPv4 Cisco
 Il existe deux types de listes de contrôle d'accès IPv4 Cisco : les listes standard
et les listes étendues.
Les listes de contrôle d’accès peuvent être configurées pour les appliquer au trafic
entrant et au trafic sortant.
Remarque : les listes de contrôle d'accès IPv6 Cisco sont similaires aux listes de
contrôle d'accès étendues IPv4 et sont traitées dans la suite du cours.
 Listes de contrôle d'accès standard
➢ Les listes de contrôle d'accès standard peuvent être utilisées pour autoriser ou
refuser le trafic uniquement depuis des adresses IPv4 source.
➢ L'exemple de la Figure 1 autorise tout le trafic provenant du réseau
192.168.30.0/24. Compte tenu de l'instruction implicite « deny any » à la fin de la
liste, tout autre trafic est bloqué avec cette liste. Les listes de contrôle d'accès
standard sont créées en mode de configuration globale.
H.ECH-CHAD
2. Fonctionnement des listes de
12
contrôle d'accès IP
 Listes de contrôle d'accès étendues
Les listes de contrôle d'accès étendues filtrent les paquets IPv4 en fonction de différents
critères :
- Type de protocole - Adresse IPv4 source - Adresse IPv4 de destination
- Ports TCP ou UDP source - Ports TCP ou UDP de destination
- Informations facultatives sur le type de protocole pour un contrôle plus précis
Sur la Figure 2, la liste de contrôle d'accès 103 autorise tout le trafic provenant des
adresses du réseau 192.168.30.0/24 à entrer sur n'importe quel réseau IPv4 si le port
de destination de l'hôte est 80 (HTTP). Les listes de contrôle d'accès étendues sont
créées en mode de configuration globale.
H.ECH-CHAD
3.Numérotation et attribution d’un nom
aux listes de contrôle d’accès
13
H.ECH-CHAD
Directives concernant le placement
14
des listes de contrôle d'accès
❖ Positionnement des listes de contrôle d’accès
Chaque liste de contrôle d'accès doit être placée là où elle aura le plus grand impact sur les
performances. Les règles de base sont les suivantes :
 Listes de contrôle d'accès étendues : placez les listes de contrôle d'accès étendues le plus
près possible de la source du trafic à filtrer. De cette manière, le trafic indésirable est refusé
près du réseau source et ne traverse pas l'infrastructure réseau.
 Listes de contrôle d'accès standard : étant donné que les listes de contrôle d'accès standard
ne précisent pas les adresses de destination, placez-les le plus près possible de la destination.
Le fait de placer une liste de contrôle d'accès standard à la source du trafic empêche
efficacement ce trafic d'accéder à tous les autres réseaux via l'interface à laquelle la liste est
appliquée.
La position de la liste de contrôle d'accès et donc le type de liste utilisé peuvent également
dépendre des caractéristiques suivantes :
 Le contrôle de l'administrateur réseau : la position de la liste de contrôle d'accès peut être
différente si l'administrateur réseau contrôle à la fois les réseaux source et de destination.
 Bande passante des réseaux concernés
 Facilité de configuration H.ECH-CHAD
Directives concernant le placement
15
des listes de contrôle d'accès
Interface S0/0/1 sur R3 : l'application d'une liste de contrôle d'accès standard pour empêcher le
trafic provenant du réseau 192.168.10.0/24 d'accéder à l'interface S0/0/1 empêche ce trafic
d'accéder à 192.168.30.0/24 et à tous les autres réseaux accessibles par R3, y compris le
réseau 192.168.31.0/24. L'objectif de la liste de contrôle d'accès étant de filtrer le trafic destiné
uniquement au réseau 192.168.30.0/24, aucune liste de contrôle d'accès standard ne doit être
appliquée à cette interface. Interface G0/0 de R3 : l'application de la liste de contrôle d'accès
standard au trafic sortant de l'interface G0/0 filtre les paquets provenant de 192.168.10.0/24
et destinés à 192.168.30.0/24. Cela n'affecte pas les autres réseaux accessibles par R3.
H.ECH-CHAD
3.1 Configuration des listes de contrôle d’accès IPV4
3.1.1 Configuration des listes de contrôle d'accès IPv4
standard Numérotées
16
 La syntaxe de la commande des listes de contrôle d'accès standard est la suivante :

Router(config)# access-list access-list number { deny | permit | remark} source [ masque
-générique-source ][ log ]
H.ECH-CHAD
3.1.1 Listes de contrôle d'accès IPv4 standard
Numérotées
17
❖ Masques génériques dans les listes de contrôle d'accès

 Mots-clés des bits de masque générique
➢ Travailler avec des représentations décimales de bits de masque générique peut être
fastidieux. Les mots-clés host(hôte) et any (tous) permettent d'identifier les utilisations les plus
courantes des masques génériques, et simplifient ainsi cette tâche. Ils suppriment la saisie des
masques génériques lorsque vous identifiez un hôte spécifique ou un réseau.
➢ Le mot-clé host remplace le masque 0.0.0.0. Ce masque indique que tous les bits d'adresse
IPv4 doivent correspondre pour pouvoir filtrer juste une adresse d'hôte.
➢ Le mot-clé any remplace l'adresse IP et le masque 255.255.255.255. Ce masque indique qu'il
convient d'ignorer l'intégralité de l'adresse IPv4 ou d'accepter n'importe quelle adresse.
Par exemple :
✓ au lieu de saisir 192.168.10.10 0.0.0.0, vous pouvez utiliser host 192.168.10.10.
✓ au lieu de saisir 0.0.0.0 255.255.255.255, vous pouvez utiliser le mot-clé any seul.
Le zéro implique que la valeur soit comparée (correspondance parfaite exigée),
tandis que le 1 implique de bloquer la comparaison (correspondance exacte non
exigée).
H.ECH-CHAD
3.1.1 Configuration des listes de contrôle
d'accès IPv4 standard Numérotées
18
 Configuration de listes de contrôle d'accès standard

Pour utiliser des listes de contrôle d'accès standard numérotées sur un routeur Cisco,
vous devez d'abord créer la liste de contrôle d'accès standard, puis l'activer sur une
interface.
❑ Les ACE peuvent autoriser ou refuser un hôte ou une plage d'adresses d'hôte. Pour
créer une instruction d'hôte dans la liste de contrôle d'accès 10 qui autorise un hôte
spécifique possédant l'adresse IP 192.168.10.10, vous devrez saisir :
R1(config)# access-list 10 permit host 192.168.10.10
❑ Comme l'illustre la Figure 2, pour créer une instruction autorisant une plage
d'adresses IPv4 dans une liste de contrôle d'accès numérotée ACL 10 qui autorise
toutes les adresses IPv4 du réseau 192.168.10.0/24, vous devez saisir :
R1(config)# access-list 10 permit 192.168.10.0 0.0.0.255
❑ Pour supprimer la liste de contrôle d'accès, la commande de configuration
globale no access-list est utilisée. La commande show access-list permet de
vérifier que la liste d'accès 10 a été supprimée.
H.ECH-CHAD
19
 Configuration de listes de contrôle d'accès standard

 Pour s'assurer que l'administrateur et d'autres intervenants se souviennent de l'objectif d'une
instruction, il est important d'ajouter des remarques. Le mot-clé remark est utilisé à des fins de
documentation et rend les listes de contrôle d'accès bien plus simples à comprendre. Chaque
remarque comporte 100 caractères au maximum.
 Lorsque l'on consulte la liste de contrôle d'accès dans la configuration à l'aide de la
commande show running-config, la remarque s'affiche également.
H.ECH-CHAD
20
 Saisie des instructions de critères

❑ Lorsque le trafic entre dans le routeur, il est comparé à toutes les entrées de
contrôle d'accès dans l'ordre dans lequel ces entrées apparaissent dans la liste de
contrôle d'accès. Le routeur continue à traiter les ACE (les entrées de contrôle
d'accès) jusqu'à ce qu'il trouve une correspondance.
❑ Si aucune correspondance n'est trouvée, lorsque le routeur atteint la fin de la liste, le
trafic est refusé. Ceci est dû au fait que, par défaut, il existe un refus implicite à la
fin de toutes les listes de contrôle d'accès pour le trafic qui ne correspond à aucune
entrée configurée.
❑ Si vous avez une liste de contrôle d'accès à entrée unique, et que celle-ci est une
entrée de refus, tout le trafic sera refusé. Au moins une ACE d'autorisation doit être
configurée dans toute liste de contrôle d'accès. Sinon, tout le trafic est bloqué.
❑ Pour le réseau sur la figure, l'application de la liste de contrôle d'accès 1 ou 2 à
l'interface S0/0/0 de R1 vers la sortie aura le même effet. Le réseau
192.168.10.0 sera autorisé à accéder aux réseaux accessibles via S0/0/0 alors
que 192.168.11.0 ne sera pas autorisé à y accéder.
H.ECH-CHAD
21
 Saisie des instructions de critères
H.ECH-CHAD
22
 Logique de la liste de contrôle d'accès standard

❑ Sur la figure, l'adresse source des paquets qui entrent dans le routeur via l'interface
G0/0 est examinée en fonction des entrées suivantes :
❑ Lorsque les paquets sont
autorisés, ils sont
acheminés vers une
interface de sortie par le
routeur. Si les paquets sont
refusés, ils sont
abandonnés sur l'interface
d'entrée.
❑access-list 2 deny host 192.168.10.10

❑access-list 2 permit 192.168.10.0 0.0.0.255
❑access-list 2 deny 192.168.0.0 0.0.255.255
❑access-list 2 permit 192.0.0.0 0.255.255.255
H.ECH-CHAD
23
 Logique interne :Cisco IOS applique une logique interne lorsqu'il accepte et
traite les entrées de contrôle d'accès (ACE). Comme évoqué précédemment, les ACE
sont traitées de manière séquentielle. Par conséquent, l'ordre dans lequel elles sont
saisies est important.
H.ECH-CHAD
24
 Application de listes de contrôle d’accès standard aux

interfaces
 Une fois qu'une liste de contrôle d'accès standard est configurée, elle est associée à
une interface à l'aide de la commande ip access-group en mode de configuration
d'interface :
Router(config-if)#ip access-group { access-list-number |access-list-name } { in | out }
 Pour supprimer une liste de contrôle d'accès IP d'une interface, entrez d'abord la
commande no ip access-group sur l'interface, puis la commande globale no access-
list pour supprimer l'ensemble de la liste.
 La Figure 1 décrit les étapes à suivre et la syntaxe à adopter pour configurer et
appliquer une liste de contrôle d'accès standard numérotée sur un routeur.
H.ECH-CHAD
25
 Application de listes de contrôle d’accès standard aux

interfaces
H.ECH-CHAD
26
 Création de listes de contrôle d’accès standard nommées:

Si vous attribuez un nom à une liste de contrôle d'accès, il vous sera plus facile d'en
comprendre la fonction. Par exemple, vous pouvez nommer NO_FTP une liste de
contrôle d'accès refusant le trafic FTP. Lorsque vous identifiez une liste de contrôle
d'accès par un nom plutôt qu'un numéro, le mode de configuration et la syntaxe de
commande sont légèrement différents.
les étapes à
suivre pour
créer une liste
de contrôle
d'accès
standard
nommée.
H.ECH-CHAD
27
 Remarque : les listes de contrôle d'accès numérotées utilisent la commande de

configuration globale access-list alors que les listes de contrôle d'accès IPv4 nommées
utilisent la commande ip access-list.
 Indiquez si la liste de contrôle d'accès doit être appliquée aux paquets lorsqu'ils
entrent dans l'interface (in) ou lorsqu'ils quittent l'interface (out).
La Figure suivante illustre les

commandes utilisées pour
configurer une liste de contrôle
d'accès standard nommée sur
l'interface G0/0 du routeur R1
qui refuse l'accès de l'hôte
192.168.11.10 au réseau
192.168.10.0. La liste de contrôle
d'accès est nommée NO_ACCESS.
H.ECH-CHAD
3.1.2 Modification de listes de contrôle d’accès
standard numérotées :
28
Il n'existe aucune fonction d'édition intégrée vous permettant de modifier une liste de
contrôle d'accès.
Les listes de contrôle d'accès standard numérotées peuvent être modifiées de deux
façons.
 Méthode 1 : à l'aide d'un éditeur de texte
Etape 1:
L'exemple de la
figure utilise le
mot-clé
include (inclure)
pour afficher
uniquement les
ACE.
H.ECH-CHAD
3.1.2 Modification de listes de contrôle d’accès
standard numérotées :
29
 Méthode 2 : à l'aide du numéro d'ordre

 Comme l'illustre la figure, la configuration initiale de l'ACL 1 incluait une instruction
d'hôte relative à l'hôte 192.168.10.99. Il s'agissait d'une erreur. L'hôte devrait avoir
été configuré avec l'adresse 192.168.10.10. Pour modifier la liste de contrôle
d'accès à l'aide des numéros d'ordre, procédez comme suit :
H.ECH-CHAD
3.1.2 Modification de listes de contrôle
d’accès standard nommées :
30
 Dans un exemple précédent, les numéros d'ordre ont été utilisés pour modifier une
liste de contrôle d'accès standard numérotée. Grâce aux numéros d'ordre, il est
facile d'insérer ou de supprimer des instructions spécifiques. Cette méthode permet
également de modifier les listes de contrôle d'accès standard nommées.
H.ECH-CHAD
3.1. 3 Vérification des listes de
31
contrôle d’accès
 la commande show ip interface permet de vérifier la liste de contrôle d'accès sur
l'interface. Le résultat de cette commande inclut le numéro ou le nom de la liste de
contrôle d'accès et la direction dans laquelle celle-ci a été appliquée. Le résultat
indique que la liste d'accès 1 est appliquée à l'interface sortante S0/0/0 du
routeur R1 et la liste d'accès NO_ACCESS à son interface sortante G0/0.
H.ECH-CHAD
3.1. 3 Vérification des listes de
32
contrôle d’accès
 la commande show access-lists sur le routeur R1. Pour afficher une liste d'accès
spécifique, exécutez la commande show access-lists suivie du numéro ou du nom de
la liste d'accès de votre choix. Les instructions de la liste NO_ACCESS peuvent
sembler étranges. Notez que le numéro d'ordre 15 s'affiche avant le numéro
d'ordre 10. Cela est dû au processus interne du routeur et sera traité dans la suite
de ce cours.
H.ECH-CHAD
3.1. 4 Sécurisation des ports VTY à l'aide d'une liste de
contrôle d'accès IPv4 standard :La commande access-class
33
 Vous pouvez améliorer la sécurité des lignes administratives en limitant l'accès VTY.
La restriction de l'accès VTY est une technique vous permettant de définir les
adresses IP avec un accès à distance au processus EXEC du routeur. Vous pouvez
indiquer les adresses IP autorisées à avoir l’accès à distance à votre routeur via une
liste de contrôle d'accès et l'instruction access-class configurés sur vos lignes VTY.
Utilisez cette technique avec SSH pour renforcer la sécurité de tout accès
administratif.
 La commande access-class configurée en mode de configuration de ligne limite les
connexions entrantes et sortantes entre un VTY spécifique (vers un périphérique
Cisco) et les adresses renseignées dans une liste de contrôle d'accès.
La syntaxe de la commande access-class est la suivante :
Router(config-line)# access-class access-list-number { in |out }
 Le paramètre in limite les connexions entrantes entre les adresses de la liste d'accès
et le périphérique Cisco, tandis que le paramètre out limite les connexions sortantes
entre un périphérique Cisco spécifique et les adresses de la liste d'accès.
H.ECH-CHAD
contrôle d'accès IPv4 standard :La commande access-class
34
 La Figure 1 présente un exemple où une plage d'adresses est autorisée à accéder

aux lignes VTY 0 à 4. La liste de contrôle d'accès de la figure est configurée pour
autoriser le réseau 192.168.10.0 à accéder aux lignes VTY 0 à 4, mais refuser tous
les autres réseaux.
 Vous pouvez appliquer aux lignes VTY aussi bien les listes d'accès nommées que
celles numérotées.
 Vous devez définir les mêmes restrictions sur toutes les lignes VTY car un utilisateur
peut tenter de se connecter à n’importe laquelle.
H.ECH-CHAD
contrôle d'accès IPv4 standard:Vérification de la
sécurité du port VTY
35
 Le résultat de R1 présente l'effet de la commande show access-lists après les

tentatives SSH de PC1 et PC2. La correspondance de la ligne « permit » fait
référence à la connexion SSH réussie de PC1. La correspondance à l'instruction
« deny » est due à l'échec de la connexion SSH de PC2, un périphérique du réseau
192.168.11.0/24.
H.ECH-CHAD
3.2 Listes de contrôle d'accès IPv4
36
étendues
 Listes de contrôle d'accès IPv4 étendues
 Les listes de contrôle d'accès étendues sont numérotées de 100 à 199 et de
2 000 à 2 699 ce qui offre un total de 799 numéros de listes de contrôle d'accès
étendues disponibles. Vous pouvez également attribuer un nom aux listes de
contrôle d'accès étendues.
 Les listes de contrôle d'accès étendues sont plus répandues que les listes de contrôle
d'accès standard, car elles fournissent un degré supérieur de contrôle comme le
montre la figure.
H.ECH-CHAD
3.3 Configuration de listes de
37
contrôle d'accès IPv4 étendues
 Les procédures de configuration des listes de contrôle d'accès étendues sont les
mêmes que pour les listes de contrôle d'accès standard. La liste de contrôle d'accès
étendue est d'abord configurée, puis elle est activée sur une interface. La syntaxe et
les paramètres de commande sont plus complexes car ils prennent en charge des
fonctions supplémentaires fournies par les listes de contrôle d'accès étendues.
 Remarque : la logique interne appliquée pour ordonner les instructions des listes de
contrôle d'accès standard ne s'applique pas aux listes de contrôle d'accès étendues.
L'ordre dans lequel les instructions sont saisies lors de la configuration est l'ordre
dans lequel elles s'affichent et sont traitées.
 La Figure 1 illustre la syntaxe de commande courante pour les listes de contrôle
d'accès étendues IPv4. Notez qu'il existe de nombreux mots-clés et paramètres pour
les listes de contrôle d'accès étendues. Il n'est pas nécessaire de tous les utiliser lors
de la configuration d'une liste de contrôle d'accès étendue. Souvenez-vous que vous
pouvez utiliser le signe ? pour obtenir de l'aide lors de la saisie de commandes
complexes.
H.ECH-CHAD
38
H.ECH-CHAD
39
 La Figure 2 présente un exemple de liste de contrôle d'accès étendue. Dans cet
exemple, l'administrateur réseau a configuré des listes de contrôle d'accès pour
limiter l'accès au réseau. La navigation sur Internet est autorisée uniquement à partir
du réseau local relié à l'interface G0/0. La liste de contrôle d'accès 103 autorise le
trafic en provenance de toute adresse sur le réseau 192.168.10.0 à accéder à
n'importe quelle destination, à condition que le trafic soit transféré via les ports 80
(HTTP) et 443 (HTTPS) uniquement.
H.ECH-CHAD
40
 La nature du protocole HTTP exige que le trafic revienne sur le réseau à partir des
sites Web consultés par les clients internes. L'administrateur réseau souhaite limiter
ce trafic retour aux échanges HTTP de sites Web demandés, et refuser tout autre
trafic. La liste de contrôle d'accès 104 atteint cet objectif en bloquant tout trafic
entrant, à l'exception des connexions établies précédemment. L'instruction « permit »
de la liste de contrôle d'accès 104 autorise le trafic entrant à l'aide du
paramètre established.
 Le paramètre established autorise uniquement les réponses au trafic provenant du
réseau 192.168.10.0/24 à revenir sur ce réseau.
 Sans le paramètre established dans l'instruction de la liste de contrôle d'accès, les
clients pourraient envoyer le trafic vers un serveur Web, mais ne pourraient pas
recevoir le trafic revenant de celui-ci.
H.ECH-CHAD
41
 Application de listes de contrôle étendues aux interfaces
 Pour appliquer une liste de contrôle d'accès à une interface, déterminez d'abord si
le filtrage concerne le trafic entrant ou sortant. Lorsqu'un utilisateur du réseau local
interne accède à un site Web sur Internet, le trafic est dans la direction sortante vers
Internet. Lorsqu'un utilisateur interne reçoit un e-mail à partir d'Internet, le trafic entre
dans le routeur local. Cependant, lorsque vous appliquez une liste de contrôle d'accès à
une interface, les termes entrant et sortant prennent un sens différent.
 Dans la topologie de la figure, R1 a trois interfaces : une interface série, S0/0/0,
et deux interfaces Gigabit Ethernet, G0/0 et G0/1. Souvenez-vous que les listes de
contrôle d'accès étendues doivent généralement être appliquées près de la source.
Dans cette topologie, l'interface la plus proche de la source du trafic cible est
l'interface G0/0.
 Remarque : les listes d'accès auraient pu être appliquées à l'interface S0/0/0,
mais dans ce cas, le processus ACL du routeur devrait examiner tous les paquets
entrant dans le routeur et non seulement le trafic en provenance et à destination de
192.168.11.0. Cela entraînerait des opérations inutiles pour le routeur.
H.ECH-CHAD
42
 Application de listes de contrôle étendues aux interfaces
 Le trafic des requêtes Web émises par les utilisateurs du réseau local 192.168.10.0/24 entre
dans l'interface G0/0. Le trafic de retour provenant des connexions établies avec les
utilisateurs du réseau local sort de l'interface G0/0. Cet exemple applique la liste de contrôle
d'accès à l'interface G0/0 dans les deux sens. La liste de contrôle d'accès entrante, 103,
examine le type de trafic. La liste de contrôle d'accès sortante, 104, recherche le trafic de
retour des connexions établies. L'accès internet de 192.168.10.0 sera donc limité à la
navigation sur le Web.
H.ECH-CHAD
43
 Filtrage du trafic à l’aide de listes de contrôle d’accès étendues
 L'exemple de la Figure 1 refuse le trafic FTP provenant du sous-réseau 192.168.11.0
destiné au sous-réseau 192.168.10.0, mais autorise tout autre trafic.
 Souvenez-vous que le protocole FTP utilise les ports TCP 20 et 21. Par conséquent, la
liste de contrôle d'accès doit comporter les mots-clés ftp et ftp-data, ou eq 20 et eq
21 pour refuser le trafic FTP.
H.ECH-CHAD
44
Si vous utilisez les numéros de port au lieu des noms de port, les commandes sont les
suivantes :
➢ access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq 20
➢ access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq 21
 Pour empêcher l'instruction de refus global implicite présente à la fin de la liste de
contrôle d'accès de bloquer tout le trafic, l'instruction permit ip any any est ajoutée.
S'il n'existe aucune instruction permit dans une liste de contrôle d'accès, tout le trafic
sur l'interface à laquelle cette liste est appliquée est abandonné. La liste de contrôle
d'accès devrait être appliquée sur le trafic entrant dans l'interface G0/1 afin que le
trafic provenant du réseau local 192.168.11.0/24 soit filtré lorsqu'il entre dans
l'interface du routeur.
H.ECH-CHAD
45
L'exemple de la Figure 2 refuse le trafic Telnet provenant de n'importe quelle source vers
le réseau local 192.168.11.0/24, mais autorise tout autre trafic IP. Étant donné que le
trafic destiné au réseau local 192.168.11.0/24 est sortant sur l'interface G0/1, la liste
de contrôle d'accès serait appliquée à l'interface G0/1 à l'aide du mot-clé out. Notez
l'utilisation de permit ip any any dans l'instruction d'autorisation. Cette instruction est
ajoutée pour garantir qu'aucun autre trafic n'est bloqué.
H.ECH-CHAD
46
 Création de listes de contrôle d’accès étendues nommées
La création des listes de contrôle d'accès étendues nommées est similaire à la création
des listes de contrôle d'accès standard nommées. Procédez comme suit pour créer une
liste de contrôle d'accès étendue identifiée par un nom :
 Étape 1. En mode de configuration globale, utilisez la commande ip access-list
extended name pour définir le nom de la liste de contrôle d'accès étendue.
 Étape 2. En mode de configuration de la liste de contrôle d'accès nommée, spécifiez
les conditions permit ou deny.
 Étape 3. Repassez en mode d'exécution privilégié et vérifiez la liste à l'aide de la
commande show access-lists name.
 Étape 4. Enregistrez les entrées dans le fichier de configuration en utilisant la
commande copy running-config startup-config.
Pour supprimer une liste de contrôle d'accès étendue nommée, utilisez la commande de
configuration globale no ip access-list extended name.
H.ECH-CHAD
47
 Création de listes de contrôle d’accès étendues nommées
La figure montre les versions nommées des listes de contrôle d'accès créées dans les exemples
précédents. La liste de contrôle d'accès nommée SURFING permet aux utilisateurs du réseau local
192.168.10.0/24 d'accéder aux sites Web. La liste de contrôle d'accès nommée BROWSING
autorise le trafic de retour provenant des connexions établies. Les règles sont appliquées au trafic
entrant et sortant de l'interface G0/0 à l'aide des noms des listes de contrôle d'accès.
H.ECH-CHAD
48
 Vérification des listes de contrôle d’accès étendues nommées
Une fois qu'une liste de contrôle d'accès a été configurée et appliquée à une interface,
utilisez la commande show access-lists pour afficher le contenu de toutes les listes de
contrôle d'accès. L'exemple du bas présente le résultat de la commande show ip
interface g0/0 sur le routeur R1.
H.ECH-CHAD
49
 Modification des listes de contrôle d’accès étendues
La modification des listes de contrôle d'accès étendues est similaire à celle des listes de contrôle
d'accès standard, comme évoqué précédemment. Une liste de contrôle d'accès étendue peut être
modifiée comme suit :
 1re méthode, l'éditeur de texte
 2e méthode, les numéros d'ordre : les numéros d'ordre permettent de supprimer ou d'insérer
une instruction de liste de contrôle d'accès. Vous avez la possibilité d'insérer ou de supprimer
des ACE.
H.ECH-CHAD
4. Listes de contrôle d'accès IPv6
4.1 Création de listes de contrôle d'accès IPv6
4.1.1 Types de listes de listes de contrôle d’accès IPv6
50
 Les listes de contrôle d'accès IPv6 sont très semblables aux listes de contrôle
d'accès IPv4, tant dans leur fonctionnement que dans leur configuration.
 Une liste de contrôle d'accès IPv4 et une liste de contrôle d'accès IPv6 ne peuvent
pas porter le même nom.
H.ECH-CHAD
4.1.2 Comparaison des listes de contrôle d’accès IPv4 et IPv6
51
Bien que les adresses IPv4 et IPv6 liste sont très similaires, il existe trois différences entre eux.
 Application d'une liste de contrôle d'accès IPv6
La première différence concerne la commande utilisée pour appliquer une liste de contrôle d'accès
IPv6 à une interface. La commande ip access-group permet d'appliquer une liste de contrôle d'accès
IPv4 à une interface IPv4. IPv6 utilise la commande ipv6 traffic-filter pour effectuer la même tâche
sur les interfaces IPv6.
 Aucun masque générique
À la différence des listes de contrôle d'acccèsIPv4, les listes de contrôle d'accès IPv6 n'utilisent pas
de masques génériques. Au lieu de cela, la longueur de préfixe est utilisée pour indiquer dans
quelle mesure l'adresse IPv6 source ou de destination doit correspondre.
 Instructions supplémentaires par défaut
La dernière différence majeure concerne l'ajout de deux instructions d'autorisation implicites à la
fin de chaque liste de contrôle d'accès IPv6. À la fin de chaque liste de contrôle d'accès IPv4
standard ou étendue, il existe une instruction implicite deny any ou deny any any.
Il existe également une instruction deny ipv6 any any similaire à la fin de chaque liste de contrôle
d'accès IPv6.
H.ECH-CHAD
4.1.2 Comparaison des listes de contrôle d’accès IPv4 et IPv6
52
 Instructions supplémentaires par défaut

En revanche, dans le cas d'IPv6, deux autres instructions implicites sont appliquées par défaut :
* permit icmp any any nd-na Et * permit icmp any any nd-ns
 Ces deux instructions permettent au routeur de prendre part à l'équivalent IPv6 du protocole
ARP pour IPv4. Souvenez-vous qu'ARP est utilisé dans le cadre d'IPv4 pour traduire les
adresses de couche 3 en adresses MAC de couche 2. Comme le montre la figure, IPv6 utilise
des messages de découverte de voisin (ND pour Neighbor Discovery) ICMP pour effectuer la
même opération. Étant donné qu'IPv6 utilise le service de couche 3 pour la découverte de
voisin, les listes de contrôle d'accès IPv6 doivent autoriser implicitement l'envoi et la réception
des paquets ND sur une interface. Plus précisément, les messages nd-na (découverte de voisin-
annonce de voisin) et nd-ns (découverte de voisin-sollicitation de voisin) sont autorisés.
H.ECH-CHAD
4.2 Configuration de listes de contrôle d'accès IPv6
53
 Il existe uniquement des listes de contrôle d'accès IPv6 nommées. Leur configuration est
similaire à celle d'une liste de contrôle d'accès étendue IPv4 nommée.
 La syntaxe de commande pour les ACL IPv6. La syntaxe est similaire à celle utilisée pour les
listes de contrôle d'accès étendues IPv4. Il existe tout de même une différence importante : la
longueur de préfixe IPv6 est utilisée à la place du masque générique IPv4.
H.ECH-CHAD
54
 Il existe trois étapes de base pour configurer une liste de contrôle d'accès IPv6 :
Étape 1. En mode de configuration globale, utilisez la commande ipv6 access-
list name pour créer une liste de contrôle d'accès IPv6. Tout comme les listes de contrôle
d'accès nommées IPv4, les noms des listes de contrôle d'accès IPv6 sont
alphanumériques, sensibles à la casse et doivent être uniques. Contrairement aux listes
de contrôle d'accès IPv4, l'option standard ou étendue n'est pas nécessaire.
Étape 2. En mode de configuration des listes de contrôle d'accès nommées, utilisez les
instructions permit ou deny pour spécifier une ou plusieurs conditions pour déterminer si
un paquet est transféré ou abandonné.
Étape 3. Retournez au mode d'exécution privilégié à l'aide de la commande end.
 La Figure suivante présente la procédure à suivre pour créer une liste de contrôle
d'accès IPv6. La première instruction nomme la liste d'accès IPv6 NO-R3-LAN-
ACCESS. Comme dans le cas d'IPv4, vous n'êtes pas obligé d'écrire les noms des
listes de contrôle d'accès en majuscule, mais cela permet de les repérer plus
facilement dans le résultat de la commande running-config.
H.ECH-CHAD
55
 La deuxième instruction refuse tous les paquets IPv6 provenant de 2001:DB8:CAFE:30::/64

destinés à n'importe quel réseau IPv6. La troisième instruction autorise tous les autres paquets
IPv6.
H.ECH-CHAD
4.2.3 Application d'une liste de contrôle d'accès IPv6 à une interface
56
 Une fois que la liste de contrôle d'accès IPv6 est configurée, elle est associée à une interface à
l'aide de la commande ipv6 traffic-filter :
Router(config-if)# ipv6 traffic-filter access-list-name { in | out}
 L'application de la liste de contrôle d'accès à l'interface S0/0/0 entrante provoque le refus
des paquets provenant de 2001:DB8:CAFE:30::/64 sur les deux réseaux locaux de R1.
 Pour supprimer une liste de contrôle d'accès d'une interface, saisissez d'abord la
commande no ipv6 traffic-filter sur l'interface, puis la commande globale no ipv6 access-list.
H.ECH-CHAD
4.2.4 Exemples de liste de contrôle d'accès IPv6
57
 Refuser FTP
Dans le premier exemple Ci-dessous , le routeur R1 est configuré avec une liste d'accès IPv6 pour
refuser le trafic FTP vers 2001:DB8:CAFE:11::/64. Les ports utilisés pour les données FTP (port 20)
et le contrôle FTP (port 21) doivent être bloqués. Étant donné que le filtre est appliqué en entrée
à l'interface G0/0 sur R1, seul le trafic provenant du réseau 2001:DB8:CAFE:10::/64 sera refusé.
H.ECH-CHAD
4.2.4 Exemples de liste de contrôle d'accès IPv6
58
 Restriction de l'accès
Dans le deuxième exemple, présenté ci-dessous, une liste de contrôle d'accès IPv6 est configurée
pour accorder au réseau local sur R3 un accès limité aux réseaux locaux sur R1. Des commentaires
sont ajoutés à la configuration pour documenter la liste de contrôle d'accès. Les éléments suivants
ont été marqués dans la liste de contrôle d'accès :
1.Les
6. PC3
3.
5.
4.
2. Le
Tous lesdeux
La reste
liste
sur du
premières
d'accès
2001:DB8:CA
trafic
autres IPv6 IPv6
est
instructions
est appliquée
FE:30::12
autorisé
périphériquesvers
est
d'autorisation
à l'interface
autorisé
toutes
se voientlesà
permettent
G0/0 dans
accéder
autres
refuser via la
l'accès
l'accès
direction
Telnet
destinations.
Telnet
au àà PC2
réseau de
PC2.
n'importe
entrante, de
portant
2001:DB8:CA quel
périphérique
sorte queIPv6
l'adresse
FE:10::/64. seul
au
le réseau
2001:DB8:CAserveur
Web
2001:DB8:CAà
FE:11::11.
l'adresse
FE:30::/64 est
2001:DB8:CA
affecté.
H.ECH-CHAD FE:10::10.
4.2.5 Vérification de liste de contrôle d'accès IPv6
59
 Les commandes utilisées pour vérifier une liste d'accès IPv6 sont similaires à celles utilisées
pour les listes de contrôle d'accès IPv4. La commande show ipv6 interface confirme que la
liste de contrôle d'accès RESTRICTED-ACCESS est configurée dans la direction entrante de
l'interface G0/0.
 Comme le montre la figure suivante, la commande show access-lists affiche toutes les listes
de contrôle d'accès sur le routeur (IPv4 et IPv6). Notez que pour les listes de contrôle d'accès
IPv6, les numéros d'ordre figurent à la fin de l'instruction et non au début comme pour les listes
d'accès IPv4.
Bien que les instructions apparaissent dans l'ordre
dans lequel elles ont été saisies, les incréments ne sont
pas toujours de 10. Cela est dû au fait que les
instructions de remarque saisies étaient identifiées par
un numéro d'ordre, mais n'apparaissent pas dans le
résultat de la commande show access-lists.
H.ECH-CHAD
4.2.5 Vérification de liste de contrôle d'accès IPv6
60
 De la même manière que pour les listes de contrôle d'accès étendues IPv4, les instructions sont
affichées et traitées dans l'ordre dans lequel elles ont été saisies dans les listes d'accès IPv6.
Souvenez-vous que les listes de contrôle d'accès IPv4 standard utilisent une logique interne qui
modifie leur ordre d'apparition et de traitement.
 Comme l'illustre la Figure 3, le résultat de la commande show running-config inclut toutes les
ACE et les instructions de remarque. Les instructions de remarque peuvent être placées avant
ou après les instructions permit ou deny, mais leur position doit être homogène.
H.ECH-CHAD
4.3 Conclusion
61
H.ECH-CHAD
PARTIE I : Les technologies NAT et PAT
62
1. Introduction
2. Adresses privées
3. Présentation des fonctions NAT et PAT
4. Principales fonctionnalités NAT et PAT
5. Configuration des fonctions NAT et PAT
✓ Traduction statique
✓ Dynamique
6. Vérification de la configuration PAT
7. Dépannage de la configuration des fonctions NAT et
PAT
8. Problèmes liés à la fonction NAT
H.ECH-CHAD
1. Introduction:
63
 La croissance rapide d'Internet a surpris la plupart des observateurs.

Cette croissance rapide aurait épuisé la réserve existante d'adresses
IPv4. Pour palier à cette pénurie d'adresses IPv4, plusieurs solutions
ont été développées. L'une de ces solutions, largement mise en
œuvre, est la traduction d'adresses réseau (NAT)
 NAT est un mécanisme permettant de conserver les adresses IP
enregistrées dans des réseaux de grande taille et de simplifier la
gestion de l'adressage IP. Lorsqu'un paquet est routé par un
équipement de réseau, généralement un pare-feu ou un routeur
périphérique, l'adresse IP source, c'est à dire une adresse réseau
interne privée, est traduite en une adresse IP publique routable. Une
variation de NAT, dénommée PAT (Port Address Translation -
Traduction d'adresses de ports), permet de traduire un grand nombre
d'adresses privées internes au moyen d'une adresse publique externe
unique.
H.ECH-CHAD
2. Adresses privées
64
 La RFC 1918 réserve les trois blocs d'adresses IP privées ci-dessous:
 1 adresse de classe A
 16 adresses de classe B
 256 adresses de classe C
 Ces adresses sont exclusivement destinées aux réseaux internes privés. Les paquets qui les
contiennent ne sont pas routés sur Internet.
 Généralement, les FAI configurent généralement les routeurs périphériques de façon à

empêcher le transfert du trafic privé.
 Avec NAT, les sociétés individuelles peuvent attribuer des adresses privées à certains ou tous
leurs hôtes, et utiliser NAT pour leur procurer un accès à Internet.

H.ECH-CHAD
3. Présentation des fonctions NAT et
65
PAT
 NAT est conçu pour conserver des adresses IP et permettre aux réseaux d’utiliser des adresses
IP privées sur les réseaux internes. Ces adresses internes privées sont traduites en adresses
publiques routables.
 Un matériel compatible NAT fonctionne généralement à la périphérie d’un réseau

d’extrémité. Quand un hôte situé à l’intérieur du réseau d’extrémité souhaite émettre vers un
hôte de l’extérieur, il transfère le paquet au routeur périphérique frontière. Ce routeur
périphérique frontière effectue le processus NAT et traduit l’adresse privée interne d’un hôte
en une adresse publique externe routable.
Les termes ci-dessous, liés à NAT, ont été définis par Cisco:
 Adresse locale interne – L’adresse IP attribuée à un hôte du réseau interne. Il s’agit

généralement d’une adresse privée RFC 1918.
 Adresse globale interne – Une adresse IP légitime attribuée par le fournisseur d’accès, et qui
représente une ou plusieurs adresses IP locales internes pour le monde extérieur.
H.ECH-CHAD
3. Présentation des fonctions NAT et
66
PAT
Les termes ci-dessous, liés à NAT, ont été définis par Cisco:
 Adresse locale externe – L'adresse IP d'un hôte externe telle que la connaissent les
hôtes du réseau interne.
 Adresse globale externe – L'adresse IP attribuée à un hôte du réseau externe. C'est le
propriétaire de l'hôte qui attribue cette adresse
H.ECH-CHAD
4. Principales fonctionnalités NAT et
67
PAT
 Les traductions NAT peuvent avoir de nombreuses utilisations et peuvent
indifféremment être attribuées de façon statique ou dynamique.
La fonction NAT statique est conçue pour permettre le mappage bi-univoque

d’adresses locales et globales. Ceci s’avère particulièrement utile pour les hôtes qui
doivent disposer d’une adresse permanente, accessible depuis Internet. Ces hôtes
internes peuvent être des serveurs d’entreprise ou des équipements de réseau.
H.ECH-CHAD
68
PAT
 La fonction NAT dynamique est conçue pour mapper une adresse IP privée sur une
adresse publique. Une adresse IP quelconque prise dans un groupe d’adresses IP
publiques est attribuée à un hôte du réseau.
 Avec la traduction d’adresses de ports (Port Address Translation - PAT), plusieurs
adresses IP privées peuvent être mappées sur une adresse IP publique unique.
 La fonction PAT utilise des numéros de port source uniques sur l’adresse IP
globale interne, de façon à assurer une distinction entre les traductions.
 Le numéro de port est encodé sur 16 bits. Le nombre total d’adresses internes
pouvant être traduites en une adresse externe peut théoriquement atteindre les 65
536 par adresse IP. De façon plus réaliste, le nombre de port pouvant être attribués à
une adresse IP unique avoisine les 4000.
La fonction PAT tente de conserver le port source d’origine. Si ce port source est déjà utilisé,
PAT attribue le premier numéro de port disponible en commençant au début du groupe de
ports approprié.
Quand il n’y a plus de ports disponibles et que plusieurs adresses IP externes sont configurées,
PAT sélectionne l’adresse IP suivante pour tenter d’allouer de nouveau le numéro du port
source initial. H.ECH-CHAD
69
PAT
Avantages de NAT :
 Elle économise du temps et de l’argent. Elle élimine le besoin de réattribuer une
nouvelle adresse IP à chaque hôte lors du passage à un nouveau FAI.
 Elle économise les adresses au moyen d’un multiplexage au niveau du port de
l’application.
 Elle protège le réseau. En effet, comme les réseaux privés ne divulguent pas leurs
adresses ou leur topologie interne, ils restent raisonnablement sécurisés.
H.ECH-CHAD
5. Configuration des fonctions NAT et
70
PAT
1. Traduction statique
Etablir le mappage statique :
 Router(config)#ip nat inside source static {@ IP locale} {@ IP globale}
Définir les interfaces :
 Router(config-if)#ip nat inside ➔ l’interface connectée à l’intérieur
 Router(config-if)#ip nat outside ➔ l’interface connectée à l’extérieur
La figure présente
l'utilisation de la
traduction NAT
statique. Le routeur
traduit les paquets de
l'hôte 10.1.1.2 en
l'adresse source
192.168.1.2.
H.ECH-CHAD
71
PAT
2. Traduction dynamique :
1. Définir une liste d’@IP globales à allouer :
 Router(config)#ip nat pool {nom_pool} {@ IP début} {@ IP fin} {netmask masque de SR|

prefix-length longueur de préfixe}
2. Définir une ACL standard autorisant les @ qui doivent être traduites.
3. Etablir la traduction dynamique
 Router(config)#ip nat inside source list {n° ACL} pool {nom_pool}
4. Définir les interfaces :
 Router(config-if)#ip nat inside

➔ l’interface connectée à l’intérieur
 Router(config-if)#ip nat outside
➔ l’interface connectée à l’extérieur
H.ECH-CHAD
72
PAT
2. Traduction dynamique :
Remarque : Cisco recommande de ne pas configurer les listes d’accès référencées par des
commandes NAT à l’aide de la commande permit any.
En effet, permit any peut mener la fonction NAT à consommer trop de ressources routeur, ce qui
peut occasionner des problèmes
H.ECH-CHAD
Configuration de la PAT : adresse unique
73
Surcharge :
 Il existe deux façons de configurer la surcharge, en fonction de la manière dont les adresses
IP publiques ont été allouées.
1. Un FAI ne peut allouer qu’une adresse IP publique à un réseau.
➔ Définir une ACL standard autorisant les @ qui doivent être traduites.
➔ Etablir la traduction dynamique :
 Router(config)#ip nat inside source list {n° ACL} interface {interface} overload
➔ Définir les interfaces :
 Router(config-if)#ip nat inside ➔l’interface connectée à l’intérieur

 Router(config-if)#ip nat outside ➔l’interface connectée à l’extérieur
H.ECH-CHAD
Configuration de la PAT : pool d'adresses
74
Surcharge :
 Il existe deux façons de configurer la surcharge, en fonction de la manière dont les adresses
IP publiques ont été allouées.
2. Si le FAI a fourni une ou plusieurs adresses IP publiques à titre de groupe NAT.
➔ Définir une ACL standard autorisant les @ qui doivent être traduites.
➔ Spécifier l’@ globale, en tant que groupe à utiliser par la surcharge :
 Router(config)#ip nat pool {nom_pool} {@ IP début} {@ IP fin} {netmask masque de SR|
prefix-length longueur de préfixe}
➔ Etablir la traduction dynamique :
 Router(config)#ip nat inside source list {n° ACL} pool {nom_pool} overload
➔ Définir les interfaces
H.ECH-CHAD
75
PAT
Surcharge :
H.ECH-CHAD
6. Vérification de la configuration
76
PAT
 Par défaut, les traductions d’adresse dynamiques deviennent inactives dans la table
de traduction NAT au terme d’une période de non-utilisation de 24 heures, sauf si
les temporisations ont été reconfigurées par la commande
 Router(config)#ip nat translation timeout {timeout_seconds}
H.ECH-CHAD
6. Vérification de la configuration
77
PAT
H.ECH-CHAD
7. Transfert de port (Redirection)
78
 Le transfert de port consiste à transférer le trafic adressé à un port réseau

spécifique d’un nœud réseau à un autre.
 Cette technique permet à un utilisateur externe d'atteindre un port sur une adresse
IPv4 privée (dans un réseau local) à partir de l'extérieur, via un routeur configuré
pour la NAT.
 En règle générale, les programmes et opérations de partage de fichiers peer to
peer, tels que les services Web et le FTP sortant, exigent que les ports du routeur
soient redirigés ou ouverts pour que ces applications puissent fonctionner (voir
Figure 1).
 Le problème est que la NAT n'autorise pas les requêtes provenant de l'extérieur. Ce
problème peut être résolu par une intervention manuelle. Le transfert de port peut
être configuré pour identifier des ports spécifiques pouvant être redirigés vers des
hôtes internes.
H.ECH-CHAD
79
 Le transfert de port permet aux utilisateurs sur Internet d'accéder aux serveurs
internes à l'aide de l'adresse du port WAN du routeur et du numéro de port
externe correspondant. Les serveurs internes sont généralement configurés avec des
adresses IPv4 privées de l’espace RFC 1918. Lorsqu'une requête est envoyée à
l'adresse IPv4 du port WAN via Internet, le routeur transfère la demande au
serveur approprié sur le réseau local. Pour des raisons de sécurité, les routeurs haut
débit n’autorisent pas par défaut le transfert d’une requête réseau externe vers un
hôte interne .
H.ECH-CHAD
80
 La figure montre la fenêtre de configuration Single Port Forwarding (transfert de

port unique) pour un routeur sans fil Packet Tracer. Par défaut, le transfert de port
n’est pas activé sur le routeur.
 Pour activer le transfert de port pour les applications, il convient de spécifier
l’adresse locale interne vers laquelle les demandes doivent être transférées. Dans la
figure, les demandes de service HTTP arrivant sur le routeur sans fil sont transférées
vers le serveur Web dont l'adresse locale interne est 192.168.1.254.
 Si l’adresse IPv4 du réseau étendu (WAN) externe du routeur sans fil est
209.165.200.225, l’utilisateur externe peut saisir http://www.example.com. Le
routeur sans fil redirige alors la demande HTTP vers le serveur Web interne à
l’adresse IPv4 192.168.1.254, en utilisant le numéro de port par défaut 80. H.ECH-CHAD
81
 Les commandes IOS utilisées pour mettre en œuvre le transfert de port sont
similaires à celles utilisées pour configurer la NAT statique. Le transfert de port
correspond essentiellement à la traduction NAT statique avec un numéro de port
TCP ou UDP spécifique.
H.ECH-CHAD
82
H.ECH-CHAD
7. Transfert de port
Vérification du transfert de port
83
 Comme pour la NAT statique, la commande show ip nat translations peut être
utilisée pour vérifier le transfert de port.
H.ECH-CHAD
NAT pour IPv6
84
 La NAT pour IPv6 est utilisée dans un contexte très différent de la NAT pour IPv4. Les
différentes NAT pour IPv6 servent à fournir de façon transparente un accès entre les
réseaux IPv6-only et les réseaux ipv4-only. Elles ne servent pas à traduire des
adresses IPv6 privées en adresses IPv6 globales.
 Dans l'idéal, IPv6 doit être exécuté de manière native dans la mesure du possible,
c'est-à-dire que les périphériques IPv6 communiquent entre eux sur les réseaux IPv6.
Toutefois, pour faciliter le passage d'IPv4 à IPv6, l'IETF a développé plusieurs
techniques de transition adaptées à différents scénarios de type IPv4 vers IPv6, y
compris la double pile, la transmission tunnel et la traduction.
 La NAT pour IPv6 ne doit pas être utilisée en tant que stratégie à long terme, mais
comme un mécanisme temporaire permettant d'aider à la migration d'IPv4 vers IPv6.
Au fil des ans, plusieurs types de NAT ont été développés pour IPv6, notamment la
NAT-PT (traduction d'adresse réseau-traduction de protocole). La NAT-PT a été
désapprouvée par l'IETF au profit de la NAT64 qui la remplace.
 La NAT64 sort du cadre de ce cursus.
H.ECH-CHAD
8. Dépannage de la configuration
85
des fonctions NAT et PAT
 Procédez comme suit pour déterminer si NAT fonctionne correctement:
1. Définissez clairement ce que la fonction NAT est censée faire.
2. Vérifier que les traductions appropriées sont présentes dans la table de
traduction.
3. Assurez-vous que la traduction s’effectue en exécutant les commandes show
et debug.
4. Vérifiez de façon détaillée ce qui arrive au paquet et assurez-vous que les
routeurs disposent des informations correctes pour l’acheminer.
 Debug ip nat ➔afficher des informations sur chacun des paquets traduits par
le Routeur
 Debug ip nat detailed ➔ générer une description individuelle les paquets +
erreurs …
H.ECH-CHAD
8. Dépannage de la configuration
86
des fonctions NAT et PAT
Décodez les résultats à l’aide des points clés suivants :

 s = a.b.c.d est l’adresse source.
 L’adresse source a.b.c.d est traduite en w.x.y.z.
 d = e.f.g.h est l’adresse de destination.
 La valeur entre parenthèses représente le numéro d’identification IP.
H.ECH-CHAD
87
La fonction NAT offre plusieurs avantages, notamment :
 Elle ménage le système d’adressage enregistré légalement en autorisant la

privatisation des intranets.
 Elle augmente la souplesse des connexions vers le réseau public.
Toutefois, NAT présente certains inconvénients.
 Une perte de fonctionnalité, en particulier avec les protocoles ou les applications

qui impliquent l’envoi d’adresses IP à l’intérieur des données utiles du paquet IP.
 NAT augmente les délais. Des délais de commutation de chemin sont introduits par
la traduction de chaque adresse IP à l’intérieur des en-têtes de paquet.
 Le processeur examine chaque paquet pour déterminer s’il doit être ou non traduit.
 La perte de traçabilité IP de bout en bout. Il devient bien plus difficile de suivre les
paquets qui subissent de nombreux changements d’adresse sur plusieurs sauts NAT.
H.ECH-CHAD
88
H.ECH-CHAD

M201 Acl

Transféré par

Droits d'auteur :

Formats disponibles

M201 Acl

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

M201 Acl

Transféré par

Droits d'auteur :

Formats disponibles

1

Prof: Hakima ECH-CHAD

Les protocoles de la couche 4

 Fonctionnement du protocole TCP.

 Fonctionnement du protocole TCP:

 Fonctionnement du protocole UDP:

 Utilisation du protocole TCP et du protocole UDP

Sur un routeur Cisco, vous

 Une liste de contrôle d'accès est un ensemble séquentiel d'instructions d'autorisation ou de

 La syntaxe de la commande des listes de contrôle d'accès standard est la suivante :

❖ Masques génériques dans les listes de contrôle d'accès

 Configuration de listes de contrôle d'accès standard

 Configuration de listes de contrôle d'accès standard

 Saisie des instructions de critères

 Saisie des instructions de critères

 Logique de la liste de contrôle d'accès standard

❑access-list 2 deny host 192.168.10.10

 Application de listes de contrôle d’accès standard aux

 Application de listes de contrôle d’accès standard aux

 Création de listes de contrôle d’accès standard nommées:

 Remarque : les listes de contrôle d'accès numérotées utilisent la commande de

La Figure suivante illustre les

 Méthode 2 : à l'aide du numéro d'ordre

 La Figure 1 présente un exemple où une plage d'adresses est autorisée à accéder

 Le résultat de R1 présente l'effet de la commande show access-lists après les

 Instructions supplémentaires par défaut

 La deuxième instruction refuse tous les paquets IPv6 provenant de 2001:DB8:CAFE:30::/64

 La croissance rapide d'Internet a surpris la plupart des observateurs.

 La RFC 1918 réserve les trois blocs d'adresses IP privées ci-dessous:

 Généralement, les FAI configurent généralement les routeurs périphériques de façon à

 Un matériel compatible NAT fonctionne généralement à la périphérie d’un réseau

 Adresse locale interne – L’adresse IP attribuée à un hôte du réseau interne. Il s’agit

La fonction NAT statique est conçue pour permettre le mappage bi-univoque

 Router(config)#ip nat pool {nom_pool} {@ IP début} {@ IP fin} {netmask masque de SR|

 Router(config)#ip nat inside source list {n° ACL} pool {nom_pool}

4. Définir les interfaces :

 Router(config-if)#ip nat inside

 Router(config-if)#ip nat inside ➔l’interface connectée à l’intérieur

➔ Définir les interfaces

 Router(config)#ip nat translation timeout {timeout_seconds}

 Le transfert de port consiste à transférer le trafic adressé à un port réseau

 La figure montre la fenêtre de configuration Single Port Forwarding (transfert de

Décodez les résultats à l’aide des points clés suivants :

La fonction NAT offre plusieurs avantages, notamment :

 Elle ménage le système d’adressage enregistré légalement en autorisant la

Toutefois, NAT présente certains inconvénients.

 Une perte de fonctionnalité, en particulier avec les protocoles ou les applications

Vous aimerez peut-être aussi