Listes de contrôle d'accès IPv4 standard

Configuration des listes de contrôle d'accès IPv4 standard

Cisco IOS applique une logique interne lorsqu'il accepte et traite les entrées de contrôle d'accès (ACE). Comme évoqué précédemment, les ACE sont traitées de manière séquentielle. Par conséquent, l'ordre dans lequel elles sont saisies est important.

Par exemple, sur la Figure 1, ACL 3 contient deux entrées. La première ACE utilise un masque générique pour refuser une plage d'adresses comprenant tous les hôtes du réseau 192.168.10.0/24. La deuxième ACE est une instruction d'hôte qui concerne un hôte spécifique : 192.168.10.10. Il s'agit d'un hôte de la plage configurée dans l'instruction précédente. En d'autres termes, 192.168.10.10 est un hôte du réseau 192.168.10.0/24. La logique interne d'IOS appliquée aux listes de contrôle d'accès standard rejette la deuxième instruction et renvoie un message d'erreur, car il s'agit d'un sous-ensemble de l'instruction précédente. Observez sur la figure que le routeur attribue automatiquement le numéro d'ordre 10 à la première instruction saisie dans cet exemple. Le résultat du routeur inclut le message indiquant que la règle fait partie de la règle existante au numéro d'ordre 10 (« part of the existing rule at sequence num 10 »).

Remarque : à l'heure actuelle, les listes de contrôle d'accès étendues ne produisent pas d'erreur similaire.

La configuration de l'ACL 4 représentée à la Figure 2 contient les deux mêmes instructions, mais dans l'ordre inverse. Il s'agit d'une séquence valide d'instructions, car la première instruction se rapporte à un hôte spécifique et non à une plage d'hôtes.

Sur la Figure 3, l'ACL 5 montre qu'une instruction d'hôte peut être configurée après une instruction qui désigne une plage d'hôtes. L'hôte ne doit pas se trouver dans une plage couverte par une instruction précédente. L'adresse d'hôte 192.168.11.10 ne fait pas partie du réseau 192.168.10.0/24. Il s'agit donc d'une instruction valide.

Remarque : l'ordre dans lequel les ACE standard sont saisies peut être différent de l'ordre dans lequel elles sont enregistrées, affichées ou traitées par le routeur. Ce sujet sera abordé dans une section ultérieure.