🛡️

Exemple — ACL Standard

Cisco IOS — Filtrage par IP source · Numérotées et nommées · Packet Tracer

📚 Matière

Cyber-Sécurité

📅 Date

26 août 2025

☑️ État

En cours

🔧 Outil

Cisco Packet Tracer

🔁 Type ACL

Standard (1–99) Filtre source IP uniquement

📌

Règle d'or : toutes les ACL sont configurées sur le ROUTEUR. Une ACL standard filtre uniquement sur l'IP source — elle se place donc en général près de la destination pour éviter de bloquer trop tôt.

📋 Table des matières

§0Contexte réseau — Topologie §1Configuration du Switch §2Configuration du Routeur §3Configuration du port du Switch §4Configuration des PC §5Test de connectivité (avant ACL) Ex.1Bloquer un hôte précis (ACL numérotée) Ex.2Vérification de l'ACL Ex.3Supprimer une ACL Ex.4ACL inverse — tout bloquer sauf un hôte Ex.5ACL standard nommée ✅Conclusion

🗺️

Contexte réseau — Topologie

Deux réseaux interconnectés via un routeur

Appareil	Interface / Rôle	Adresse IP	Masque
Routeur	Fa0/0 — LAN gauche	`192.168.1.254`	`/24`
Routeur	Fa0/1 — LAN droit	`172.16.255.254`	`/16`
PC1	Réseau gauche	`192.168.1.1`	`/24`
PC2	Réseau gauche	`192.168.1.2`	`/24`
PC3	Réseau droit	`172.16.0.3`	`/16`
PC4	Réseau droit	`172.16.0.4`	`/16`

🔵 Configuration du Switch

Adresse IP de management sur VLAN 1

On attribue une adresse IP de management au switch pour l'administration. Le switch reste un équipement de niveau 2 — il ne fait pas de routage.

Cisco IOS — Switch

conf t
int vlan 1
  ip address 172.16.0.1 255.255.0.0
  no shutdown

! Option : passerelle pour joindre le switch depuis l'autre réseau
ip default-gateway 172.16.255.254

🟠 Configuration du Routeur

Interface gauche (Fa0/0) · Interface droite (Fa0/1)

Le routeur assure la communication entre les deux réseaux. Chaque interface reçoit une IP valide et devient la passerelle de son réseau.

Cisco IOS — Routeur

conf t

! Interface côté réseau gauche (192.168.1.0/24)
int fa0/0
  ip address 192.168.1.254 255.255.255.0
  no shutdown

! Interface côté réseau droit (172.16.0.0/16)
int fa0/1
  ip address 172.16.255.254 255.255.0.0
  no shutdown

🔌 Configuration du port du Switch

Mode Access — 1 seul VLAN

Cisco IOS — Switch

conf t
int fa0/1
  switchport mode access
  ! Mode access = 1 seul VLAN, trunk inutile

🖥️ Configuration des PC

IP · Masque · Passerelle

PC	Adresse IP	Masque	Passerelle
PC1	`192.168.1.1`	`255.255.255.0`	`192.168.1.254`
PC2	`192.168.1.2`	`255.255.255.0`	`192.168.1.254`
PC3	`172.16.0.3`	`255.255.0.0`	`172.16.255.254`
PC4	`172.16.0.4`	`255.255.0.0`	`172.16.255.254`

⚠️

Si la passerelle est fausse : le PC ne pourra pas joindre l'autre réseau. La passerelle doit toujours être l'IP du routeur sur le même réseau que le PC.

🏓 Test de connectivité avant ACL

Valider le réseau AVANT d'appliquer les ACL

✅

On ne passe aux ACL que si les pings de base fonctionnent. Si une ACL bloque ensuite, on saura que l'erreur vient bien de l'ACL et non du réseau.

Routeur

! Depuis le routeur, pinger un hôte du réseau droit
ping 172.16.0.3
! Le ping teste la couche IP (réponse ICMP)
! Si échec : vérifier câblage, IP, masque, passerelle, interfaces up

🚫 ACL Standard sur le Routeur

5 exemples — numérotées et nommées

Ex. 1 Bloquer un hôte précis — ACL numérotée access-list 1

Un seul poste doit être bloqué, les autres restent autorisés.

Cisco IOS — Routeur

conf t

! Créer l'ACL numérotée 1
access-list 1 deny   host 192.168.1.3
access-list 1 permit any

! Appliquer sur Fa0/0 en sortie (près de la destination)
int fa0/0
  ip access-group 1 out

⚠️

ACL standard = filtre sur IP source uniquement → placement recommandé près de la destination pour éviter de bloquer trop tôt dans le réseau.

Ex. 2 Vérification de l'ACL show

Après application, toujours vérifier que l'ACL est active et qu'elle filtre.

Cisco IOS — Routeur

! a) Vérifier que l'ACL est bien appliquée à l'interface
show running-config

! b) Voir les règles + compteurs de hits
show access-lists
!    → Si le compteur augmente = l'ACL filtre bien

Ex. 3 Supprimer une ACL no ip access-group

La politique de sécurité change — on retire l'ACL de l'interface.

Cisco IOS — Routeur

conf t
int fa0/0
  no ip access-group 1 out
! L'ACL reste en mémoire mais n'est plus appliquée

! Pour supprimer complètement l'ACL
no access-list 1

Ex. 4 ACL inverse — tout bloquer sauf un hôte Politique "zéro confiance"

Un seul hôte est autorisé, tous les autres sont bloqués. Approche "zéro confiance" : tout est interdit sauf ce qui est explicitement autorisé.

Cisco IOS — Routeur

conf t

access-list 2 permit host 192.168.1.3  ! Seul PC3 est autorisé
access-list 2 deny   any               ! Tous les autres bloqués

int fa0/0
  ip access-group 2 out

Ex. 5 ACL standard nommée Plus lisible · Plus professionnelle

Utiliser un nom plutôt qu'un numéro — plus facile à modifier et à identifier dans la config.

Cisco IOS — Routeur

conf t
ip access-list standard Exemple3
  deny   host 172.16.0.3    ! Bloque PC3
  permit host 172.16.0.4    ! Autorise PC4
  permit any               ! Autorise le reste

! Appliquer sur une interface
int fa0/1
  ip access-group Exemple3 in

💡

Une ACL nommée est plus facile à modifier : on peut supprimer une ligne spécifique avec no deny host 172.16.0.3 sans devoir recréer toute l'ACL.

✅

Conclusion — Points clés

À retenir pour l'examen oral

Élément	À retenir
Switch	IP VLAN = management uniquement, pas de routage
Routeur	IP sur chaque interface = passerelles des deux réseaux
ACL Standard	Filtre sur source IP uniquement — numéros 1–99
Placement	Près de la destination (ACL standard)
Ordre des règles	Toujours du plus spécifique (host) au plus général (any)
Implicit deny	Toute ACL termine avec un `deny any` implicite — toujours ajouter `permit any` si nécessaire
Vérification	`show access-lists` pour voir les règles + compteurs de hits

🎯

Workflow ACL :
1. Configurer le réseau (switch + routeur + PC)
2. Valider la connectivité avec ping
3. Créer l'ACL (access-list N ou ip access-list standard NOM)
4. L'appliquer sur l'interface (ip access-group N in|out)
5. Vérifier avec show access-lists

BTS SIO SISR — Cyber-Sécurité — ACL Standard Cisco — Packet Tracer