Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
Publié parRomain Ledoux Modifié depuis plus de 8 années
1
Listes de contrôle d’accès IPv6 John Rullan Formateur d’instructeurs certifiés Cisco Thomas A.Edison CTE HS Stephen Lynch Architecte réseau, CCIE n° 36243 ABS Technology Architects
2
© 2013 Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco 2 Les listes de contrôle d’accès ou ACL IPv6 sont très semblables aux ACL IPv4 dans leur fonctionnement et leur configuration. Si vous connaissez déjà bien les listes de contrôle d’accès IPv4, vous aurez plus de facilité à en comprendre la version IPv6. IPv6 possède un seul type de liste de contrôle d’accès, qui équivaut à une liste de contrôle d’accès IPv4 étendue et nommée. Les ACL ne sont pas numérotées dans IPv6, elles sont nommées uniquement. IPv4 utilise la commande ip access-group pour appliquer une ACL IPv4 à une interface IPv4. IPv6 utilise la commande ipv6 traffic-filter pour remplir les mêmes fonctions que les ACL IPv6. Les ACL IPv6 ne recourent pas à des masques génériques. À la place, la longueur du préfixe sert à indiquer la proportion d’une adresse source ou de destination IPv6 qui doit correspondre.
3
© 2013 Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco 3 R2 2001:DB8:CC1E:1::1/64 2001:DB8:CC1E::/127 2001:DB8:CC1E:1::/64 S0/0/0 S0/0/1 S1 S2 R1 2001:DB8:CAFE::2/127 ISP_ASW Admin Hôte Hôte externe 2001:DB8:CC1E:2::/64 2001:DB8:CC1E:A::/64 S0/0/0 2001:DB8:CC1E:A::1/64 2001:DB8:CC1E:2::1/64 Internet Serveur Web www.cisco.pka Serveur DNS 2001:DB8:CC1E:A::2/64
4
© 2013 Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco 4 Dans cet exemple, nous accordons uniquement au PC Admin l’accès à telnet sur R1 et le refusons à tous les autres. Appliquez la commande ipv6 access-list pour créer une ACL IPv6 nommée. Comme avec les ACL IPv4 nommées, les noms IPv6 sont alphanumériques et sensibles à la casse. Ils doivent également être uniques. Utilisez les instructions permit ou deny pour indiquer une ou plusieurs conditions afin de déterminer si un paquet est transféré ou abandonné. Exécutez la commande ipv6 access-class pour appliquer l’ACL aux lignes VTY. 2001:DB8:CC1E:1::/64 2001:DB8:CC1E:2::/64 2001:DB8:CC1E:1::1/64 2001:DB8:CC1E:2::1/64 S1 S2 R1 AdminHôte
5
© 2013 Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco 5 L’instruction permit accorde uniquement au PC Admin l’accès à telnet sur R1. L’instruction implicit deny (non configurée dans l’exemple) refuserait à tous les autres d’établir une session telnet sur R1. Appliquez l’ACL aux lignes VTY au moyen de la commande ipv6 access-class et en spécifiant in comme direction. R1(config)#ipv6 access-list NO_TELNET R1(config-ipv6-acl)#permit tcp host 2001:db8:cc1e:1::1 any eq 23 R1(config-ipv6-acl)#exit R1(config)#line vty 0 15 R1(config-line)#ipv6 access-class NO_TELNET in R1(config-line)#exit R1(config)#
6
© 2013 Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco 6 La commande show access-lists affiche toutes les ACL IPv4 et IPv6 configurées sur le routeur. La commande show ipv6 access-list affiche toutes les listes d’accès IPv6 configurées en les répertoriant par leur nom. (Pas d’ACL IPv6 numérotées) R1#show ipv6 access-list IPv6 access list NO_TELNET permit tcp host 2001:DB8:CC1E:1::1 any eq telnet 2001:DB8:CC1E:1::/64 2001:DB8:CC1E:2::/64 2001:DB8:CC1E:1::1/64 2001:DB8:CC1E:2::1/64 S1 S2 R1 AdminHôte
7
© 2013 Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco 7 R1(config)#ipv6 access-list DENY_WWW_FTP R1(config-ipv6-acl)#remark Deny WWW and FTP access from R1 LANs to Web Server R1(config-ipv6-acl)#deny tcp 2001:db8:cc1e:1::/64 2001:db8:cc1e:a::/64 eq www R1(config-ipv6-acl)#deny tcp 2001:db8:cc1e:1::/64 2001:db8:cc1e:a::/64 eq ftp R1(config-ipv6-acl)#deny tcp 2001:db8:cc1e:2::/64 2001:db8:cc1e:a::/64 eq www R1(config-ipv6-acl)#deny tcp 2001:db8:cc1e:2::/64 2001:db8:cc1e:a::/64 eq ftp R1(config-ipv6-acl)#permit ipv6 any any R1(config-ipv6-acl)#exit R1(config)# int s0/0/0 R1(config-if)# ipv6 traffic-filter DENY_WWW_FTP out Configurez une liste de contrôle d’accès étendue pour bloquer le trafic HTTP et TCP provenant d’applications TCP depuis l’adresse IPv6 du PC Admin et du PC Hôte lorsque le trafic est destiné au LAN Internet. Autorisez tous les autres types de trafic.
8
© 2013 Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco 8 Les instructions deny et permit sont appliquées pour indiquer une ou plusieurs conditions afin de déterminer si un paquet est transféré ou abandonné. R1#show ipv6 access-list DENY_WWW_FTP IPv6 access list DENY_WWW_FTP deny tcp 2001:DB8:CC1E:1::/64 2001:DB8:CC1E:A::/64 eq www (28 match(es)) deny tcp 2001:DB8:CC1E:1::/64 2001:DB8:CC1E:A::/64 eq ftp deny tcp 2001:DB8:CC1E:2::/64 2001:DB8:CC1E:A::/64 eq ftp deny tcp 2001:DB8:CC1E:2::/64 2001:DB8:CC1E:A::/64 eq www permit ipv6 any any (3 match(es)) La liste de contrôle d’accès a mis en correspondance 28 refus sur la base de l’instruction ACL.
9
© 2013 Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco 9 Pour modifier une ACL IPv6, vous pouvez insérer une instruction ACL d’après le numéro de séquence. Par défaut, les numéros de séquence sont répertoriés par incréments de 10. R1#show access-lists IPv6 access list NO_TELNET permit tcp host 2001:DB8:CC1E:1::1 any eq telnet (2 matches) sequence 10 IPv6 access list DENY_WWW_FTP deny tcp 2001:DB8:CC1E:1::/64 2001:DB8:CC1E:A::/64 eq www sequence 20 deny tcp 2001:DB8:CC1E:1::/64 2001:DB8:CC1E:A::/64 eq ftp sequence 30 deny tcp 2001:DB8:CC1E:2::/64 2001:DB8:CC1E:A::/64 eq www sequence 40 deny tcp 2001:DB8:CC1E:2::/64 2001:DB8:CC1E:A::/64 eq ftp sequence 50 permit ipv6 any any sequence 60 R1(config)#ipv6 access-list DENY_WWW_FTP R1(config-ipv6-acl)#permit tcp host 2001:db8:cc1e:1::12 host 2001:db8:cc1e:a:: eq www sequence 25 R1(config-ipv6-acl)#permit tcp host 2001:db8:cc1e:1::12 host 2001:db8:cc1e:a:: eq ftp sequence 25 R1#show ipv6 access-list IPv6 access list NO_TELNET permit tcp host 2001:DB8:CC1E:1::1 any eq telnet (2 matches) sequence 10 IPv6 access list DENY_WWW_FTP deny tcp 2001:DB8:CC1E:1::/64 2001:DB8:CC1E:A::/64 eq www sequence 20 permit tcp host 2001:DB8:CC1E:1::12 host 2001:DB8:CC1E:A:: eq www sequence 25 permit tcp host 2001:DB8:CC1E:1::12 host 2001:DB8:CC1E:A:: eq ftp sequence 25 deny tcp 2001:DB8:CC1E:1::/64 2001:DB8:CC1E:A::/64 eq ftp sequence 30 deny tcp 2001:DB8:CC1E:2::/64 2001:DB8:CC1E:A::/64 eq ftp sequence 40 deny tcp 2001:DB8:CC1E:2::/64 2001:DB8:CC1E:A::/64 eq www sequence 50 permit ipv6 any any sequence 60
10
Merci.
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.