Vous êtes sur la page 1sur 10

Listes de

contrôle
d’accès IPv6
John Rullan
Formateur d’instructeurs
certifiés Cisco
Thomas A.Edison CTE HS

Stephen Lynch
Architecte réseau,
CCIE n° 36243
ABS Technology Architects
Fonctionnement des listes de contrôle
d’accès IPv6
• Les listes de contrôle d’accès ou ACL IPv6 sont très semblables aux
ACL IPv4 dans leur fonctionnement et leur configuration. Si vous
connaissez déjà bien les listes de contrôle d’accès IPv4, vous aurez
plus de facilité à en comprendre la version IPv6.
• IPv6 possède un seul type de liste de contrôle d’accès, qui équivaut à
une liste de contrôle d’accès IPv4 étendue et nommée.
• Les ACL ne sont pas numérotées dans IPv6, elles sont nommées
uniquement.
• IPv4 utilise la commande ip access-group pour appliquer une ACL
IPv4 à une interface IPv4. IPv6 utilise la commande ipv6 traffic-filter
pour remplir les mêmes fonctions que les ACL IPv6.
• Les ACL IPv6 ne recourent pas à des masques génériques. À la place,
la longueur du préfixe sert à indiquer la proportion d’une adresse source
ou de destination IPv6 qui doit correspondre.

© 2013 Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco 2
Topologie des listes de contrôle
d’accès IPv6
2001:DB8:CAFE::2/127

Internet
S0/0/1
S0/0/0
R2
2001:DB8:CC1E::/127
2001:DB8:CC1E:A::/64

S0/0/0

R1 ISP_ASW
2001:DB8:CC1E:1::/64 2001:DB8:CC1E:2::/64

S1 S2 Hôte
externe

2001:DB8:CC1E:A::1/64

Admin Hôte
Serveur DNS
Serveur Web 2001:DB8:CC1E:A::2/64
www.cisco.pka
2001:DB8:CC1E:1::1/64 2001:DB8:CC1E:2::1/64 2001:DB8:CC1E:A::2/64

© 2013 Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco 3
Restreindre l’accès aux lignes VTY
2001:DB8:CC1E:1::/64 2001:DB8:CC1E:2::/64

S1 R1 S2

Admin Hôte

2001:DB8:CC1E:1::1/64 2001:DB8:CC1E:2::1/64

• Dans cet exemple, nous accordons uniquement au PC Admin l’accès à


telnet sur R1 et le refusons à tous les autres.
• Appliquez la commande ipv6 access-list pour créer une ACL IPv6
nommée. Comme avec les ACL IPv4 nommées, les noms IPv6 sont
alphanumériques et sensibles à la casse. Ils doivent également être
uniques.
• Utilisez les instructions permit ou deny pour indiquer une ou plusieurs
conditions afin de déterminer si un paquet est transféré ou abandonné.
• Exécutez la commande ipv6 access-class pour appliquer l’ACL aux
lignes VTY.
© 2013 Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco 4
Exemple de configuration d’une liste de
contrôle d’accès
• L’instruction permit accorde uniquement au PC Admin l’accès à
telnet sur R1.
• L’instruction implicit deny (non configurée dans l’exemple)
refuserait à tous les autres d’établir une session telnet sur R1.
• Appliquez l’ACL aux lignes VTY au moyen de la commande ipv6
access-class et en spécifiant in comme direction.

R1(config)#ipv6 access-list NO_TELNET


R1(config-ipv6-acl)#permit tcp host 2001:db8:cc1e:1::1 any eq 23
R1(config-ipv6-acl)#exit
R1(config)#line vty 0 15
R1(config-line)#ipv6 access-class NO_TELNET in
R1(config-line)#exit
R1(config)#

© 2013 Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco 5
Exemple de configuration d’une liste de
contrôle d’accès (suite)
• La commande show access-lists affiche toutes les ACL IPv4 et
IPv6 configurées sur le routeur.
• La commande show ipv6 access-list affiche toutes les listes
d’accès IPv6 configurées en les répertoriant par leur nom. (Pas
d’ACL IPv6 numérotées)
R1#show ipv6 access-list
IPv6 access list NO_TELNET
permit tcp host 2001:DB8:CC1E:1::1 any eq telnet
2001:DB8:CC1E:1::/64 2001:DB8:CC1E:2::/64

S1 R1 S2

Admin Hôte

2001:DB8:CC1E:1::1/64 2001:DB8:CC1E:2::1/64

© 2013 Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco 6
Restreindre l’accès
au serveur Web
Configurez une liste de contrôle
d’accès étendue pour bloquer le
trafic HTTP et TCP provenant
d’applications TCP depuis l’adresse
IPv6 du PC Admin et du PC Hôte
lorsque le trafic est destiné au LAN
Internet. Autorisez tous les autres
types de trafic.

R1(config)#ipv6 access-list DENY_WWW_FTP


R1(config-ipv6-acl)#remark Deny WWW and FTP access from R1 LANs to Web Server
R1(config-ipv6-acl)#deny tcp 2001:db8:cc1e:1::/64 2001:db8:cc1e:a::/64 eq www
R1(config-ipv6-acl)#deny tcp 2001:db8:cc1e:1::/64 2001:db8:cc1e:a::/64 eq ftp
R1(config-ipv6-acl)#deny tcp 2001:db8:cc1e:2::/64 2001:db8:cc1e:a::/64 eq www
R1(config-ipv6-acl)#deny tcp 2001:db8:cc1e:2::/64 2001:db8:cc1e:a::/64 eq ftp
R1(config-ipv6-acl)#permit ipv6 any any
R1(config-ipv6-acl)#exit
R1(config)# int s0/0/0
R1(config-if)# ipv6 traffic-filter DENY_WWW_FTP out

© 2013 Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco 7
Commandes de vérification de liste de contrôle
d’accès IPv6
R1#show ipv6 access-list DENY_WWW_FTP
IPv6 access list DENY_WWW_FTP

deny tcp 2001:DB8:CC1E:1::/64


2001:DB8:CC1E:A::/64 eq www La liste de contrôle d’accès
(28 match(es)) a mis en correspondance
28 refus sur la base de
deny tcp 2001:DB8:CC1E:1::/64 l’instruction ACL.
2001:DB8:CC1E:A::/64 eq ftp

deny tcp 2001:DB8:CC1E:2::/64


2001:DB8:CC1E:A::/64 eq ftp Les instructions deny et
permit sont appliquées
deny tcp 2001:DB8:CC1E:2::/64 pour indiquer une ou
plusieurs conditions afin
2001:DB8:CC1E:A::/64 eq www
de déterminer si un
paquet est transféré ou
permit ipv6 any any (3 match(es)) abandonné.

© 2013 Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco 8
Modification de listes de contrôle d’accès IPv6
• Pour modifier une ACL IPv6, vous pouvez insérer une instruction ACL
d’après le numéro de séquence. Par défaut, les numéros de séquence
sont répertoriés par incréments de 10.
R1#show access-lists
IPv6 access list NO_TELNET
permit tcp host 2001:DB8:CC1E:1::1 any eq telnet (2 matches) sequence 10
IPv6 access list DENY_WWW_FTP
deny tcp 2001:DB8:CC1E:1::/64 2001:DB8:CC1E:A::/64 eq www sequence 20
deny tcp 2001:DB8:CC1E:1::/64 2001:DB8:CC1E:A::/64 eq ftp sequence 30
deny tcp 2001:DB8:CC1E:2::/64 2001:DB8:CC1E:A::/64 eq www sequence 40
deny tcp 2001:DB8:CC1E:2::/64 2001:DB8:CC1E:A::/64 eq ftp sequence 50
permit ipv6 any any sequence 60

R1(config)#ipv6 access-list DENY_WWW_FTP


R1(config-ipv6-acl)#permit tcp host 2001:db8:cc1e:1::12 host 2001:db8:cc1e:a:: eq www sequence 25
R1(config-ipv6-acl)#permit tcp host 2001:db8:cc1e:1::12 host 2001:db8:cc1e:a:: eq ftp sequence 25

R1#show ipv6 access-list


IPv6 access list NO_TELNET
    permit tcp host 2001:DB8:CC1E:1::1 any eq telnet (2 matches) sequence 10
IPv6 access list DENY_WWW_FTP
    deny tcp 2001:DB8:CC1E:1::/64 2001:DB8:CC1E:A::/64 eq www sequence 20
permit tcp host 2001:DB8:CC1E:1::12 host 2001:DB8:CC1E:A:: eq www sequence 25
permit tcp host 2001:DB8:CC1E:1::12 host 2001:DB8:CC1E:A:: eq ftp sequence 25
    deny tcp 2001:DB8:CC1E:1::/64 2001:DB8:CC1E:A::/64 eq ftp sequence 30
    deny tcp 2001:DB8:CC1E:2::/64 2001:DB8:CC1E:A::/64 eq ftp sequence 40
    deny tcp 2001:DB8:CC1E:2::/64 2001:DB8:CC1E:A::/64 eq www sequence 50
    permit ipv6 any any sequence 60

© 2013 Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco 9
Merci.