I - Architecture traditionnelle Core, Aggregation, Access

5. Qu'est-ce qu’une ACL ?

Les ACL pour Access Control List , ne sont pas à proprement parler un protocole, mais plutôt un principe. Il existe des ACL pour divers types de ressources informatiques, comme les fichiers et dans notre cas les réseaux. Le principe d’une ACL est de limiter l’accès à certaines ressources pour certains utilisateurs. Les ACL réseaux sont apparues dans les années 80 avec les ACL standard et ont continué à se perfectionner avec l’apparition des ACL étendues dans les années 90.

Les ACL sont comparées aux paquets réseaux de manière séquentielle, c’est-à-dire que, dès qu’une règle peut être associée à un paquet, l’action de cette règle est appliquée et les règles suivantes sont ignorées. En l’absence de règle applicable aux paquets réseaux, une règle implicite de Deny comprenez de refus, est appliquée. Une ACL est toujours accompagnée d’une action, soit d’autorisation Permit , soit d’interdiction Deny .

A noter que les ACL sont dites Stateless , c’est-à-dire que ce qui est autorisé dans un sens, ne l’est pas dans l’autre.


Il existe deux types d’ACL présentés ci-dessous :

  • ACL standard : Les ACL standard sont très limitées, se basent uniquement sur l’IP source pour autoriser ou non le paquet (Permit/Deny). A noter que les ACL standard sont placées au plus proche de la destination.
  • ACL étendues : Les ACL étendues sont beaucoup plus performantes et peuvent se baser sur les IP sources et destinations, les MAC sources et destinations, les ports et les protocoles (TCP, UDP, ICMP). A noter que les ACL étendues sont placées au plus près de la source.

    • Les ACL qu’elles soient standard ou étendues peuvent être déclarées des deux manières suivantes :

  • ACL Numérotées :Elles sont définies dans des plages, de 1 à 99 puis de 1300 à 1999 pour les ACL standard et de 100 à 199 puis de 2000 à 2699 pour les ACL étendues. Une fois créées, les ACL numérotées ne peuvent pas être modifiées, en cas de nécessité il faut supprimer et recréer la règle. Le principe de numérotation réduit la lisibilité des ACL, cela limite l’utilisation des ACL numérotées aux petites infrastructures réseaux peu complexes.
  • ACL Nommées :Les ACL sont nommées de manière personnalisée par l’administrateur. De plus, contrairement aux ACL numérotées, il est possible d’éditer les ACL après leur création. Cette lisibilité et cette flexibilité font que les ACL nommées sont majoritairement préférées aujourd’hui, surtout dans les architectures denses et complexes.

    • Les ACL sont un mécanisme de sécurité et leur sécurisation ne dépend que de leur bonne configuration, il n’y a donc aucun mécanisme supplémentaire pour sécuriser une ACL.

    Dans les architectures à 3 niveaux, l’utilisation des ACL se fait en grande majorité sur la couche Aggregation pour restreindre le routage entre les différents VLAN, afin de les rendre hermétiques et de s’assurer du respect de la confidentialité. Leurs utilisations plus minimes sur la couche Core permettent d’ignorer certaines routes indésirables et aussi l’interconnexion entre les DATACENTER via la mise en place de tunnels IPSEC.

    Dans notre cas, nous mettrons en œuvre les ACL sur la couche Aggregation pour le cloisonnement des VLAN.