Listes de contrôle d’accès IPv6 John Rullan Formateur d’instructeurs certifiés Cisco Thomas A.Edison CTE HS Stephen Lynch Architecte réseau, CCIE n° 36243.

Slides:



Advertisements
Présentations similaires
Liste de contrôle d’accès
Advertisements

- ACL * Access Control List. Sommaire 1)Théorie 1)ACL standard 1)ACL étendue 1)ACL nommée 1)Mise en place et vérification des ACLs.
Les Access-lists sur routeurs Cisco
Les listes de contrôle d’accès
Afnog 2009 Liste de contrôle d’accès Jean Robert HOUNTOMEY
PRESENTATION ACLs. Les listes de contrôle d’accès sont des listes de conditions qui sont appliquées au trafic circulant via une interface de routeur.
TP Sécurité - Sécuriser l’accès d’administration en utilisant
Terminaux virtuels (VTY)
– NAT et PAT - 1.
Liste de contrôle d’accès
Sécurité - Configuration du PIX avec un seul réseau interne
- TP Listes d'Accès Etendues
Remote Desktop Protocol l'Appliance de Sécurité
- TP Listes d'Accès Etendues
Configuration PIX avec deux Routeurs
Sécurité - Configuration d'un
TP Sécurité - Configuration de Base d'un Routeur avec SDM
QoS - Propagation de la Politique de QoS via BGP
Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN
Configurer NAT et PAT statique pour support d'un serveur Web interne
Commande ip nat service
Sécurité - Configuration du PIX
Marquage Tos-Cos du paquet pour
Sécurité - ASA7.x/PIX 6.x et plus
Configuration EIGRP et IGRP
Tunnel pour paquets IP Multicast
Configuration Routeur SOHO77
Configuration NAT Overload (PAT)
Sécurité - Listes d'Accès - Standards et Etendues - Configuration
BGP - Configuration iBGP et eBGP avec ou sans adresse de Loopback
Configuration BGP de base
CBAC - Introduction et Configuration
Comprendre la politique
Réseau informatique Sorenza Laplume 1.
Sécurité - Listes d'Accès - Numérotation des entrées
(Network Address Translation)
Configuration Routeur à Routeur avec PAT & Client VPN Cisco
de listes d'accès filtres
show ip nat translations
- TP Listes d'Accès multiples
Sous-résaux LAN dupliqués
TP Hot Standby Router Protocol (HSRP)
Hot Standby Router Protocol standby preempt et standby track
TP Sécurité - IOS Firewall - Configuration de base d'un site avec SDM
Sécurité - TP Listes d'Accès Standard
Sécurité - Configuration de
Sécurité - Configuration de
- Instructions NAT - PAT
Sécurité - Configuration de l'autorisation d'Applets Java
Configuration NAT Utilisation de la commande outside source list
- Utilisation des commandes nat, global, static, conduit,
OSPF - Commande show ip ospf neighbor.
Sécurité - Configuration de
Configuration IPSec LAN Privé à LAN Privé et NAT statique
Changer les critères de nommage
QoS - Configuration de CAR (Committed Access Rate)
Configuration d'un Pare-feu
Configuration Frame Relay "Priority Queuing"
Sécurité - Configuration d'un
Configuration d'un accès
entre trois routeurs utilisant des
IOS Firewall - Blocage d'applets Java
QoS - Configuration de NBAR (Network-Based Application Recognition)
QoS - Configuration Fragmentation
Liste de contrôle d’accès
Exemples de paramétrages Interfaces IP
Sécurité - Configuration de Auth-Proxy Inbound - Client VPN IPSec
Configuration NAT Dynamique
Routes statiques IPv6 John Rullan
LES RESEAUX. Besoin de communication LES RESEAUX Pour communiquer via un réseau informatique Support de transmission Carte réseau Éléments de réseau.
Transcription de la présentation:

Listes de contrôle d’accès IPv6 John Rullan Formateur d’instructeurs certifiés Cisco Thomas A.Edison CTE HS Stephen Lynch Architecte réseau, CCIE n° ABS Technology Architects

© 2013 Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco 2 Les listes de contrôle d’accès ou ACL IPv6 sont très semblables aux ACL IPv4 dans leur fonctionnement et leur configuration. Si vous connaissez déjà bien les listes de contrôle d’accès IPv4, vous aurez plus de facilité à en comprendre la version IPv6. IPv6 possède un seul type de liste de contrôle d’accès, qui équivaut à une liste de contrôle d’accès IPv4 étendue et nommée. Les ACL ne sont pas numérotées dans IPv6, elles sont nommées uniquement. IPv4 utilise la commande ip access-group pour appliquer une ACL IPv4 à une interface IPv4. IPv6 utilise la commande ipv6 traffic-filter pour remplir les mêmes fonctions que les ACL IPv6. Les ACL IPv6 ne recourent pas à des masques génériques. À la place, la longueur du préfixe sert à indiquer la proportion d’une adresse source ou de destination IPv6 qui doit correspondre.

© 2013 Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco 3 R2 2001:DB8:CC1E:1::1/ :DB8:CC1E::/ :DB8:CC1E:1::/64 S0/0/0 S0/0/1 S1 S2 R1 2001:DB8:CAFE::2/127 ISP_ASW Admin Hôte Hôte externe 2001:DB8:CC1E:2::/ :DB8:CC1E:A::/64 S0/0/0 2001:DB8:CC1E:A::1/ :DB8:CC1E:2::1/64 Internet Serveur Web Serveur DNS 2001:DB8:CC1E:A::2/64

© 2013 Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco 4 Dans cet exemple, nous accordons uniquement au PC Admin l’accès à telnet sur R1 et le refusons à tous les autres. Appliquez la commande ipv6 access-list pour créer une ACL IPv6 nommée. Comme avec les ACL IPv4 nommées, les noms IPv6 sont alphanumériques et sensibles à la casse. Ils doivent également être uniques. Utilisez les instructions permit ou deny pour indiquer une ou plusieurs conditions afin de déterminer si un paquet est transféré ou abandonné. Exécutez la commande ipv6 access-class pour appliquer l’ACL aux lignes VTY. 2001:DB8:CC1E:1::/ :DB8:CC1E:2::/ :DB8:CC1E:1::1/ :DB8:CC1E:2::1/64 S1 S2 R1 AdminHôte

© 2013 Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco 5 L’instruction permit accorde uniquement au PC Admin l’accès à telnet sur R1. L’instruction implicit deny (non configurée dans l’exemple) refuserait à tous les autres d’établir une session telnet sur R1. Appliquez l’ACL aux lignes VTY au moyen de la commande ipv6 access-class et en spécifiant in comme direction. R1(config)#ipv6 access-list NO_TELNET R1(config-ipv6-acl)#permit tcp host 2001:db8:cc1e:1::1 any eq 23 R1(config-ipv6-acl)#exit R1(config)#line vty 0 15 R1(config-line)#ipv6 access-class NO_TELNET in R1(config-line)#exit R1(config)#

© 2013 Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco 6 La commande show access-lists affiche toutes les ACL IPv4 et IPv6 configurées sur le routeur. La commande show ipv6 access-list affiche toutes les listes d’accès IPv6 configurées en les répertoriant par leur nom. (Pas d’ACL IPv6 numérotées) R1#show ipv6 access-list IPv6 access list NO_TELNET permit tcp host 2001:DB8:CC1E:1::1 any eq telnet 2001:DB8:CC1E:1::/ :DB8:CC1E:2::/ :DB8:CC1E:1::1/ :DB8:CC1E:2::1/64 S1 S2 R1 AdminHôte

© 2013 Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco 7 R1(config)#ipv6 access-list DENY_WWW_FTP R1(config-ipv6-acl)#remark Deny WWW and FTP access from R1 LANs to Web Server R1(config-ipv6-acl)#deny tcp 2001:db8:cc1e:1::/ :db8:cc1e:a::/64 eq www R1(config-ipv6-acl)#deny tcp 2001:db8:cc1e:1::/ :db8:cc1e:a::/64 eq ftp R1(config-ipv6-acl)#deny tcp 2001:db8:cc1e:2::/ :db8:cc1e:a::/64 eq www R1(config-ipv6-acl)#deny tcp 2001:db8:cc1e:2::/ :db8:cc1e:a::/64 eq ftp R1(config-ipv6-acl)#permit ipv6 any any R1(config-ipv6-acl)#exit R1(config)# int s0/0/0 R1(config-if)# ipv6 traffic-filter DENY_WWW_FTP out Configurez une liste de contrôle d’accès étendue pour bloquer le trafic HTTP et TCP provenant d’applications TCP depuis l’adresse IPv6 du PC Admin et du PC Hôte lorsque le trafic est destiné au LAN Internet. Autorisez tous les autres types de trafic.

© 2013 Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco 8 Les instructions deny et permit sont appliquées pour indiquer une ou plusieurs conditions afin de déterminer si un paquet est transféré ou abandonné. R1#show ipv6 access-list DENY_WWW_FTP IPv6 access list DENY_WWW_FTP deny tcp 2001:DB8:CC1E:1::/ :DB8:CC1E:A::/64 eq www (28 match(es)) deny tcp 2001:DB8:CC1E:1::/ :DB8:CC1E:A::/64 eq ftp deny tcp 2001:DB8:CC1E:2::/ :DB8:CC1E:A::/64 eq ftp deny tcp 2001:DB8:CC1E:2::/ :DB8:CC1E:A::/64 eq www permit ipv6 any any (3 match(es)) La liste de contrôle d’accès a mis en correspondance 28 refus sur la base de l’instruction ACL.

© 2013 Cisco et/ou ses filiales. Tous droits réservés. Document public de Cisco 9 Pour modifier une ACL IPv6, vous pouvez insérer une instruction ACL d’après le numéro de séquence. Par défaut, les numéros de séquence sont répertoriés par incréments de 10. R1#show access-lists IPv6 access list NO_TELNET permit tcp host 2001:DB8:CC1E:1::1 any eq telnet (2 matches) sequence 10 IPv6 access list DENY_WWW_FTP deny tcp 2001:DB8:CC1E:1::/ :DB8:CC1E:A::/64 eq www sequence 20 deny tcp 2001:DB8:CC1E:1::/ :DB8:CC1E:A::/64 eq ftp sequence 30 deny tcp 2001:DB8:CC1E:2::/ :DB8:CC1E:A::/64 eq www sequence 40 deny tcp 2001:DB8:CC1E:2::/ :DB8:CC1E:A::/64 eq ftp sequence 50 permit ipv6 any any sequence 60 R1(config)#ipv6 access-list DENY_WWW_FTP R1(config-ipv6-acl)#permit tcp host 2001:db8:cc1e:1::12 host 2001:db8:cc1e:a:: eq www sequence 25 R1(config-ipv6-acl)#permit tcp host 2001:db8:cc1e:1::12 host 2001:db8:cc1e:a:: eq ftp sequence 25 R1#show ipv6 access-list IPv6 access list NO_TELNET permit tcp host 2001:DB8:CC1E:1::1 any eq telnet (2 matches) sequence 10 IPv6 access list DENY_WWW_FTP deny tcp 2001:DB8:CC1E:1::/ :DB8:CC1E:A::/64 eq www sequence 20 permit tcp host 2001:DB8:CC1E:1::12 host 2001:DB8:CC1E:A:: eq www sequence 25 permit tcp host 2001:DB8:CC1E:1::12 host 2001:DB8:CC1E:A:: eq ftp sequence 25 deny tcp 2001:DB8:CC1E:1::/ :DB8:CC1E:A::/64 eq ftp sequence 30 deny tcp 2001:DB8:CC1E:2::/ :DB8:CC1E:A::/64 eq ftp sequence 40 deny tcp 2001:DB8:CC1E:2::/ :DB8:CC1E:A::/64 eq www sequence 50 permit ipv6 any any sequence 60

Merci.

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.