Par défaut un routeur ne filtre pas le trafic. Le trafic qui entre dans le routeur est routé uniquement en fonction des informations de la table de routage.
Le filtrage des paquets contrôle l'accès à un réseau en analysant les paquets entrants et sortants et en les transmettant ou les rejetant selon des critères tels que l'adresse IP source, les adresses IP de destination et le protocole transporté dans le paquet. Un routeur de filtrage de paquets utilise des règles pour déterminer s'il doit autoriser ou refuser le trafic. Un routeur peut également effectuer le filtrage des paquets au niveau de la couche 4, la couche transport.
Une liste de contrôle d'accès est un ensemble séquentiel d'instructions d'autorisation ou de refus. La dernière instruction d'une liste de contrôle d'accès est toujours une instruction deny implicite bloquant tout le trafic. Pour empêcher l'instruction deny any implicite à la fin de la liste de contrôle d'accès de bloquer tout le trafic, vous pouvez ajouter l'instruction permit ip any any.
Lorsque le trafic réseau traverse une interface configurée avec une liste de contrôle d'accès, le routeur compare les informations du paquet à chaque entrée, dans l'ordre séquentiel, afin de déterminer si le paquet correspond à l'une des instructions. Si une correspondance est trouvée, le paquet est traité en conséquence.
Les listes de contrôle d'accès sont configurées pour s'appliquer au trafic entrant ou sortant.
Les listes de contrôle d'accès standard peuvent être utilisées pour autoriser ou refuser le trafic uniquement depuis les adresses IPv4 source. La destination du paquet et les ports concernés ne sont pas évalués. La règle de base pour le placement des listes de contrôle d'accès standard consiste à les placer aussi près que possible de la destination.
Les listes de contrôle d'accès étendues filtrent les paquets en fonction de plusieurs attributs : type de protocole, adresse IPv4 source ou de destination et ports source ou de destination. La règle de base pour le placement des listes de contrôle d'accès étendues consiste à les placer aussi près que possible de la source.
La commande de configuration globale access-list identifie les listes de contrôle d'accès standard au moyen d'un nombre compris entre 1 et 99 et les listes de contrôle d'accès étendues au moyen de nombres des plages 100 à 199 et 2 000 à 2 699. Les listes de contrôle d'accès standard et étendues peuvent être nommées. La commande name ip access-list standard permet de créer une liste de contrôle d'accès standard nommée, tandis que la commande name ip access-list extended permet de créer une liste de contrôle d'accès étendue. Les listes de contrôle d'accès IPv4 incluent l'utilisation de masques génériques.
Une fois qu'une liste de contrôle d'accès est configurée, elle est associée à une interface à l'aide de la commande ip access-group en mode de configuration d'interface. Rappelez-vous de la règle des trois P, une liste de contrôle d'accès par protocole, par direction, par interface.
Pour supprimer une liste de contrôle d'accès IP d'une interface, entrez d'abord la commande no ip access-group sur l'interface, puis la commande globale no access-list pour supprimer l'ensemble de la liste.
Les commandes show running-config et show access-lists permettent de vérifier la configuration des listes de contrôle d'accès. La commande show ip interface permet de vérifier la liste de contrôle d'accès sur l'interface et la direction dans laquelle elle a été appliquée.
La commande access-class configurée en mode de configuration de ligne limite les connexions entrantes et sortantes entre un VTY spécifique et les adresses renseignées dans une liste de contrôle d'accès.
Tout comme les listes de contrôle d'accès nommées IPv4, les noms des listes de contrôle d'accès IPv6 sont alphanumériques, sensibles à la casse et doivent être uniques. Contrairement aux listes de contrôle d'accès IPv4, l'option standard ou étendue n'est pas nécessaire.
En mode de configuration globale, utilisez la commande name ipv6 access-list pour créer une liste de contrôle d'accès IPv6. À la différence des listes de contrôle d'acccèsIPv4, les listes de contrôle d'accès IPv6 n'utilisent pas de masques génériques. Au lieu de cela, la longueur de préfixe est utilisée pour indiquer dans quelle mesure l'adresse IPv6 source ou de destination doit correspondre.
Une fois qu'une liste de contrôle d'accès IPv6 est configurée, elle est associée à une interface à l'aide de la commande ipv6 traffic-filter.