IPv6 : ACL



Sur IPv6 nous utilisons seulement l'ACL nommés-ètendue (extanded).

 Règle :

Router(config)# ipv6 access-list nom

  -si le protocole = icmp, ipv6
Router(config-ipv6-acl)# {deny|permit} protocole ipv6-source/CIDR ipv6-destination/CIDR

 -si le protocole =  udp, tcp ; ajouté le port source et destination (optionnel)
Router(config-ipv6-acl)# {deny|permit} protocole ipv6-source/CIDR [{eq|neq|gt|lt|range} port] ipv6-destination/CIDR [{eq|neq|gt|lt|range} port]  

 -pour une adresse hôte unique :
Router(config-ipv6-acl)# {deny|permit} protocole host ipv6-source host ipv6-destination 
  -tout les adresses :
Router(config-ipv6-acl)# {deny|permit} protocole any any

Activation d'une ACL sur une interface :
Router(config)#interface type numéro
Router(config-if)#ipv6 traffic-filte nom {in|out}
Router(config-if)#exit

 Exemple :

 


 Question :
créer un ACL pour
-bloquer la connexion tcp de client_pc à Webserver_A sur le port 443
-autoriser la connexion udp de client_pc port 1400 à Webserver_A port 53
-bloquer la connexion ping de client_pc à le réseau 2001::/64

 Solution :
R1(config)# ipv6 access-list TEST
R1(config-ipv6-acl)# deny tcp host 2000::2 host 2001::2 eq 443
R1(config-ipv6-acl)# permit udp host 2000::2 host 2001::3 eq 53
R1(config-ipv6-acl)# deny icmp host 2000::2 2001::/64
R1(config-ipv6-acl)# exit
R1(config)#interface fa 0/0
R1(config-if)#ipv6 traffic-filte TEST in
R1(config-if)#exit

Partager sur: Share Share Share Share