IPV6 Partie 3

Listes de
contrôle
d’accès IPv6
• Les listes de contrôle d’accès ou ACL IPv6 sont très semblables aux
ACL IPv4 dans leur fonctionnement et leur configuration. Si vous
connaissez déjà bien les listes de contrôle d’accès IPv4, vous aurez
plus de facilité à en comprendre la version IPv6.
• IPv6 possède un seul type de liste de contrôle d’accès, qui équivaut à
une liste de contrôle d’accès IPv4 étendue et nommée.
• Les ACL ne sont pas numérotées dans IPv6, elles sont nommées
uniquement.
• IPv4 utilise la commande ip access-group pour appliquer une ACL IPv4
à une interface IPv4. IPv6 utilise la commande ipv6 traffic-filter pour
remplir les mêmes fonctions que les ACL IPv6.
• Les ACL IPv6 ne recourent pas à des masques génériques. À la place,
la longueur du préfixe sert à indiquer la proportion d’une adresse source
ou de destination IPv6 qui doit correspondre.
© 2013 Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco 2
2001:DB8:CAFE::2/127
Internet
S0/0/1
S0/0/0
R2
2001:DB8:CC1E::/127
2001:DB8:CC1E:A::/64
S0/0/0
R1 ISP_ASW
2001:DB8:CC1E:1::/64 2001:DB8:CC1E:2::/64
S1 S2 Hôte
externe
2001:DB8:CC1E:A::1/64
Admin Hôte
Serveur DNS
Serveur Web 2001:DB8:CC1E:A::2/64
www.cisco.pka
2001:DB8:CC1E:1::1/64 2001:DB8:CC1E:2::1/64 2001:DB8:CC1E:A::2/64
2001:DB8:CC1E:1::/64 2001:DB8:CC1E:2::/64
S1 R1 S2
Admin Hôte
2001:DB8:CC1E:1::1/64 2001:DB8:CC1E:2::1/64
• Dans cet exemple, nous accordons uniquement au PC Admin l’accès à

telnet sur R1 et le refusons à tous les autres.
• Appliquez la commande ipv6 access-list pour créer une ACL IPv6
nommée. Comme avec les ACL IPv4 nommées, les noms IPv6 sont
alphanumériques et sensibles à la casse. Ils doivent également être
uniques.
• Utilisez les instructions permit ou deny pour indiquer une ou plusieurs
conditions afin de déterminer si un paquet est transféré ou abandonné.
• Exécutez la commande ipv6 access-class pour appliquer l’ACL aux
lignes VTY.
• L’instruction permit accorde uniquement au PC Admin l’accès à
telnet sur R1.
• L’instruction implicit deny (non configurée dans l’exemple)
refuserait à tous les autres d’établir une session telnet sur R1.
• Appliquez l’ACL aux lignes VTY au moyen de la commande ipv6
access-class et en spécifiant in comme direction.
R1(config)#ipv6 access-list NO_TELNET

R1(config-ipv6-acl)#permit tcp host 2001:db8:cc1e:1::1 any eq 23
R1(config-ipv6-acl)#exit
R1(config)#line vty 0 15
R1(config-line)#ipv6 access-class NO_TELNET in
R1(config-line)#exit
R1(config)#
• La commande show access-lists affiche toutes les ACL IPv4 et
IPv6 configurées sur le routeur.
• La commande show ipv6 access-list affiche toutes les listes
d’accès IPv6 configurées en les répertoriant par leur nom. (Pas
d’ACL IPv6 numérotées)
R1#show ipv6 access-list
IPv6 access list NO_TELNET
permit tcp host 2001:DB8:CC1E:1::1 any eq telnet
2001:DB8:CC1E:1::/64 2001:DB8:CC1E:2::/64
S1 R1 S2
Admin Hôte
2001:DB8:CC1E:1::1/64 2001:DB8:CC1E:2::1/64
Configurez une liste de contrôle
d’accès étendue pour bloquer le
trafic HTTP et TCP provenant
d’applications TCP depuis l’adresse
IPv6 du PC Admin et du PC Hôte
lorsque le trafic est destiné au LAN
Internet. Autorisez tous les autres
types de trafic.
R1(config)#ipv6 access-list DENY_WWW_FTP

R1(config-ipv6-acl)#remark Deny WWW and FTP access from R1 LANs to Web Server
R1(config-ipv6-acl)#deny tcp 2001:db8:cc1e:1::/64 2001:db8:cc1e:a::/64 eq www
R1(config-ipv6-acl)#deny tcp 2001:db8:cc1e:1::/64 2001:db8:cc1e:a::/64 eq ftp
R1(config-ipv6-acl)#deny tcp 2001:db8:cc1e:2::/64 2001:db8:cc1e:a::/64 eq www
R1(config-ipv6-acl)#deny tcp 2001:db8:cc1e:2::/64 2001:db8:cc1e:a::/64 eq ftp
R1(config-ipv6-acl)#permit ipv6 any any
R1(config-ipv6-acl)#exit
R1(config)# int s0/0/0
R1(config-if)# ipv6 traffic-filter DENY_WWW_FTP out
R1#show ipv6 access-list DENY_WWW_FTP
IPv6 access list DENY_WWW_FTP
deny tcp 2001:DB8:CC1E:1::/64

2001:DB8:CC1E:A::/64 eq www La liste de contrôle d’accès
(28 match(es)) a mis en correspondance
28 refus sur la base de
deny tcp 2001:DB8:CC1E:1::/64 l’instruction ACL.
2001:DB8:CC1E:A::/64 eq ftp
deny tcp 2001:DB8:CC1E:2::/64

2001:DB8:CC1E:A::/64 eq ftp Les instructions deny et
permit sont appliquées
deny tcp 2001:DB8:CC1E:2::/64 pour indiquer une ou
plusieurs conditions afin
2001:DB8:CC1E:A::/64 eq www
de déterminer si un
paquet est transféré ou
permit ipv6 any any (3 match(es)) abandonné.
• Pour modifier une ACL IPv6, vous pouvez insérer une instruction ACL
d’après le numéro de séquence. Par défaut, les numéros de séquence
sont répertoriés par incréments de 10.
R1#show access-lists
permit tcp host 2001:DB8:CC1E:1::1 any eq telnet (2 matches) sequence 10
deny tcp 2001:DB8:CC1E:1::/64 2001:DB8:CC1E:A::/64 eq www sequence 20
deny tcp 2001:DB8:CC1E:1::/64 2001:DB8:CC1E:A::/64 eq ftp sequence 30
permit ipv6 any any sequence 60
R1(config)#ipv6 access-list DENY_WWW_FTP

R1(config-ipv6-acl)#permit tcp host 2001:db8:cc1e:1::12 host 2001:db8:cc1e:a:: eq www sequence 25
R1(config-ipv6-acl)#permit tcp host 2001:db8:cc1e:1::12 host 2001:db8:cc1e:a:: eq ftp sequence 25
R1#show ipv6 access-list

permit tcp host 2001:DB8:CC1E:1::1 any eq telnet (2 matches) sequence 10
permit tcp host 2001:DB8:CC1E:1::12 host 2001:DB8:CC1E:A:: eq www sequence 25
permit tcp host 2001:DB8:CC1E:1::12 host 2001:DB8:CC1E:A:: eq ftp sequence 25
permit ipv6 any any sequence 60
Merci.

IPV6 Partie 3

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

IPV6 Partie 3

Transféré par

Droits d'auteur :

Formats disponibles

Listes de

• Dans cet exemple, nous accordons uniquement au PC Admin l’accès à

R1(config)#ipv6 access-list NO_TELNET

R1(config)#ipv6 access-list DENY_WWW_FTP

deny tcp 2001:DB8:CC1E:1::/64

deny tcp 2001:DB8:CC1E:2::/64

R1(config)#ipv6 access-list DENY_WWW_FTP

R1#show ipv6 access-list

Vous aimerez peut-être aussi