Les routeurs Cisco fournissent la possibilité de faire du filtering. Les “access lists” peuvent être configurées pour tous les protocoles routables (IP, IPX, AppleTalk, ...). Vous pouvez configurer les “access lists” sur chaque routeur de façon indépendante. Les “access lists” permettent de prévenir l’accès sur votre réseau. Les “access lists” ne sont pas uniquement destinées à la sécurité mais peuvent être utilisées dans le cadre de contrôles d’ouverture de ligne (DDR, ...).

• Utilisation des “access lists”

     Les “access list” filtrent le traffic réseau en contrôlant si des paquets routés sont transfé- rés ou bloqués sur le(les) interface(s) du routeur. Un routeur peut examiner chaque paquet suivant ce que vous avez spécifié dans les “access lists”. Il est à noter que la sécurité est minimum, un utilisateur averti pourrait contourner les “access lists”. Les critères d’une “access list” sont l’adresse de source du traffic, la destination du traffic, le niveau de protocole ou d’autres informations.
     Pourquoi utiliser des “access lists” Il y a beaucoup de raisons pour configurer des “ac- cess lists” : – Restreindre la mise à jour des tables de routage – Contrôler le flux du réseau (pour les route-map par exemple) – Et bien sûr limiter les accès aux réseaux ou à des services spéficiques du routeur Vous pouvez utiliser les “access lists” pour fournir un niveau minimum de sécurité. Si aucune “acess lists” n’est configurée, le traffic passe sans aucune restriction à travers le routeur.

•  Création d’”access lists”

    Il y a 2 étapes pour la création de listes de contrôle. La première est de créer l’access list et la seconde étape est de l’appliquer sur l’interface. Lors de la création de l’”acess list”, il faut lui assigner un identificateur unique. Dans la majorité des cas, vous devrez utiliser un numéro (suivant le type de protocole à filtrer). Il est aussi possible d’utiliser une “access list” basée un nom mais uniquement avec certains protocoles

     La création d’une “access list” est une suite de critères avec les paramètres sources, destinations, ou types de protocole. Pour une “access list” donnée (un numéro unique ou un nom unique) vous pouvez avoir plusieurs entrées. Vous n’êtes pas limité dans la taille de la liste (juste par la mémoire) . Par contre, plus la liste est longue, plus elle prend du temps à être parcourue (!!). exemple :
     interface serial 0/4
      ip addresse 192.168.1.254 255.255.255.0
      ip access-group 1 in
      !
      !
       access-list 1 permit 192.168.1.1
       access-list 1 deny 192.168.2.0 0.0.0.255
   A la fin de chaque “access lists”, il y a la règle implicite “deny all traffic”. Ce qui signifie que ce qui n’est pas spécifié est interdit. L’ordre des entrées dans l’”access-list” est important et c’est la première règle qui sa- tisfait qui est prise en compte. Lors de la modification d’une “access list”, il est difficile de la modifier. Il vous est impossible d’insérer une règle dans l’”acces list”. La seule solution est d’effacer la liste et de la recréer (même si vous avez 300 entrées 8-). Vous pouvez aussi copier la liste en TFTP et ensuite la recharger en TFTP.