Académique Documents
Professionnel Documents
Culture Documents
contrôle
d’accès IPv6
• Les listes de contrôle d’accès ou ACL IPv6 sont très semblables aux
ACL IPv4 dans leur fonctionnement et leur configuration. Si vous
connaissez déjà bien les listes de contrôle d’accès IPv4, vous aurez
plus de facilité à en comprendre la version IPv6.
• IPv6 possède un seul type de liste de contrôle d’accès, qui équivaut à
une liste de contrôle d’accès IPv4 étendue et nommée.
• Les ACL ne sont pas numérotées dans IPv6, elles sont nommées
uniquement.
• IPv4 utilise la commande ip access-group pour appliquer une ACL IPv4
à une interface IPv4. IPv6 utilise la commande ipv6 traffic-filter pour
remplir les mêmes fonctions que les ACL IPv6.
• Les ACL IPv6 ne recourent pas à des masques génériques. À la place,
la longueur du préfixe sert à indiquer la proportion d’une adresse source
ou de destination IPv6 qui doit correspondre.
© 2013 Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco 2
2001:DB8:CAFE::2/127
Internet
S0/0/1
S0/0/0
R2
2001:DB8:CC1E::/127
2001:DB8:CC1E:A::/64
S0/0/0
R1 ISP_ASW
2001:DB8:CC1E:1::/64 2001:DB8:CC1E:2::/64
S1 S2 Hôte
externe
2001:DB8:CC1E:A::1/64
Admin Hôte
Serveur DNS
Serveur Web 2001:DB8:CC1E:A::2/64
www.cisco.pka
2001:DB8:CC1E:1::1/64 2001:DB8:CC1E:2::1/64 2001:DB8:CC1E:A::2/64
© 2013 Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco 3
2001:DB8:CC1E:1::/64 2001:DB8:CC1E:2::/64
S1 R1 S2
Admin Hôte
2001:DB8:CC1E:1::1/64 2001:DB8:CC1E:2::1/64
© 2013 Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco 4
• L’instruction permit accorde uniquement au PC Admin l’accès à
telnet sur R1.
• L’instruction implicit deny (non configurée dans l’exemple)
refuserait à tous les autres d’établir une session telnet sur R1.
• Appliquez l’ACL aux lignes VTY au moyen de la commande ipv6
access-class et en spécifiant in comme direction.
© 2013 Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco 5
• La commande show access-lists affiche toutes les ACL IPv4 et
IPv6 configurées sur le routeur.
• La commande show ipv6 access-list affiche toutes les listes
d’accès IPv6 configurées en les répertoriant par leur nom. (Pas
d’ACL IPv6 numérotées)
R1#show ipv6 access-list
IPv6 access list NO_TELNET
permit tcp host 2001:DB8:CC1E:1::1 any eq telnet
2001:DB8:CC1E:1::/64 2001:DB8:CC1E:2::/64
S1 R1 S2
Admin Hôte
2001:DB8:CC1E:1::1/64 2001:DB8:CC1E:2::1/64
© 2013 Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco 6
Configurez une liste de contrôle
d’accès étendue pour bloquer le
trafic HTTP et TCP provenant
d’applications TCP depuis l’adresse
IPv6 du PC Admin et du PC Hôte
lorsque le trafic est destiné au LAN
Internet. Autorisez tous les autres
types de trafic.
© 2013 Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco 7
R1#show ipv6 access-list DENY_WWW_FTP
IPv6 access list DENY_WWW_FTP
© 2013 Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco 8
• Pour modifier une ACL IPv6, vous pouvez insérer une instruction ACL
d’après le numéro de séquence. Par défaut, les numéros de séquence
sont répertoriés par incréments de 10.
R1#show access-lists
IPv6 access list NO_TELNET
permit tcp host 2001:DB8:CC1E:1::1 any eq telnet (2 matches) sequence 10
IPv6 access list DENY_WWW_FTP
deny tcp 2001:DB8:CC1E:1::/64 2001:DB8:CC1E:A::/64 eq www sequence 20
deny tcp 2001:DB8:CC1E:1::/64 2001:DB8:CC1E:A::/64 eq ftp sequence 30
deny tcp 2001:DB8:CC1E:2::/64 2001:DB8:CC1E:A::/64 eq www sequence 40
deny tcp 2001:DB8:CC1E:2::/64 2001:DB8:CC1E:A::/64 eq ftp sequence 50
permit ipv6 any any sequence 60
© 2013 Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco 9
Merci.