Você está na página 1de 10

ACLs IPv6

John Rullan
Treinador de instrutores
certificado pela Cisco
Thomas A.Edison CTE HS
Stephen Lynch
Arquiteto de rede, CCIE #36243
Arquitetos de tecnologia ABS

Operao da ACL IPv6


As ACLs IPv6 so similares s ACLs IPv4 tanto em sua operao

quanto em sua configurao. Conhecer as listas de acesso IPv4


torna mais fcil entender e configurar as ACLs IPv6
IPv6 possui apenas um tipo de ACL, que equivale a uma IPv4

com ACL de nome extenso.


No h ACLs numeradas na IPv6, somente ACLs nomeadas.
IPv4 usa o comando ip access-group para aplicar uma ACL IPv4

a uma interface IPv4. IPv6 usa o comando ipv6 traffic-filter


para executar a mesma funo que as ACLs IPv6.
As ACLs IPv6 no utilizam mscaras curinga. Ao invs disso,

usa-se o tamanho do prefixo da rede para indicar a quantidade


de uma fonte IPv6 ou endereo de destino que deve ser
verificada.
2013 Cisco e/ou suas afiliadas. Todos os direitos reservados.

Pblico da Cisco

Topologia da ACL IPv6


2001:DB8:CAFE::2/127

S0/0/0

R2

Internet

S0/0/1

2001:DB8:CC1E::/127
2001:DB8:CC1E:A::/64

S0/0/0

ISP_ASW

R1
2001:DB8:CC1E:1::/64

S1

2001:DB8:CC1E:2::/64

S2

Host
externo

2001:DB8:CC1E:A::1/64

Admin

2001:DB8:CC1E:1::1/64

2013 Cisco e/ou suas afiliadas. Todos os direitos reservados.

Host

2001:DB8:CC1E:2::1/64

Servidor DNS
2001:DB8:CC1E:A::2/64
Servidor Web
www.cisco.pka
2001:DB8:CC1E:A::2/64

Pblico da Cisco

Restringindo o acesso s linhas VTY


2001:DB8:CC1E:1::/64
S1

2001:DB8:CC1E:2::/64
S2

R1

Admin

2001:DB8:CC1E:1::1/64

Host

2001:DB8:CC1E:2::1/64

Neste exemplo, ns permitiremos que apenas o PC do Administrador

faa a telnet no R1 e recuse todas as outras.


Utilize o comando ipv6 access-list para criar uma ACL IPv6 nomeada.

Assim como ACLs IPv4 nomeadas, os nomes de IPv6 devem ser


alfanumricos, sensveis a maisculas e minsculas e nicas.
Utilize as instrues permitir ou negar para especificar uma ou mais

condies para determinar se um pacote ser enviado ou descartado.


Utilize o comando ipv6 access-class para aplicar uma ACL s linhas

VTY.
2013 Cisco e/ou suas afiliadas. Todos os direitos reservados.

Pblico da Cisco

Exemplo de configurao de ACL


A instruo permitir permite que apenas o Administrador do PC

possa fazer a telnet no R1.


A instruo implcita de negar (no configurada) impedir que

todas as outras estabeleam uma sesso telnet com R1.


Aplicar a ACL s linhas VTY usando o comando ipv6 access-

class e com in como direo.


R1(config)#ipv6 access-list NO_TELNET
R1(config-ipv6-acl)#permit tcp host 2001:db8:cc1e:1::1 any eq 23
R1(config-ipv6-acl)#exit
R1(config)#line vty 0 15
R1(config-line)#ipv6 access-class NO_TELNET in
R1(config-line)#exit
R1(config)#

2013 Cisco e/ou suas afiliadas. Todos os direitos reservados.

Pblico da Cisco

Exemplo de configurao de ACL


(continuao)
O comando show access-lists exibe todas as ACLs IPv4 e IPv6

configuradas no roteador.
O comando show ipv6 access-list exibir todas as listas de

acesso IPv6 configuradas por nomes especficos. (No numbered


IPv6 ACLs)
R1#show ipv6 access-list
IPv6 access list NO_TELNET
permit tcp host 2001:DB8:CC1E:1::1 any eq telnet
2001:DB8:CC1E:1::/64
S1

Admin

2001:DB8:CC1E:1::1/64

2013 Cisco e/ou suas afiliadas. Todos os direitos reservados.

2001:DB8:CC1E:2::/64
R1

S2

Host

2001:DB8:CC1E:2::1/64

Pblico da Cisco

Acesso restrito ao
servidor da web
Configurar uma ACL estendida para
bloquear a origem das aplicaes
TCP de HTTP e de trfego de FTP
do PC administrador e do PC host e
fornecer endereos IPv6 especficos
se destinados a LAN da internet.
Permitir todos os tipos de trfego
restantes.
R1(config)#ipv6 access-list DENY_WWW_FTP
R1(config-ipv6-acl)#remark Deny WWW and FTP access from R1 LANs to Web Server
R1(config-ipv6-acl)#deny tcp 2001:db8:cc1e:1::/64 2001:db8:cc1e:a::/64 eq www
R1(config-ipv6-acl)#deny tcp 2001:db8:cc1e:1::/64 2001:db8:cc1e:a::/64 eq ftp
R1(config-ipv6-acl)#deny tcp 2001:db8:cc1e:2::/64 2001:db8:cc1e:a::/64 eq www
R1(config-ipv6-acl)#deny tcp 2001:db8:cc1e:2::/64 2001:db8:cc1e:a::/64 eq ftp
R1(config-ipv6-acl)#permit ipv6 any any
R1(config-ipv6-acl)#exit
R1(config)# int s0/0/0
R1(config-if)# ipv6 traffic-filter DENY_WWW_FTP out
2013 Cisco e/ou suas afiliadas. Todos os direitos reservados.

Pblico da Cisco

Comandos de verificao de ACL IPv6


R1#show ipv6 access-list DENY_WWW_FTP
IPv6 access list DENY_WWW_FTP
deny tcp 2001:DB8:CC1E:1::/64
2001:DB8:CC1E:A::/64 eq www
(28 matches)

A ACL verificou 28
negativas baseadas na
informao da ACL.

deny tcp 2001:DB8:CC1E:1::/64


2001:DB8:CC1E:A::/64 eq ftp
deny tcp 2001:DB8:CC1E:2::/64
2001:DB8:CC1E:A::/64 eq ftp
deny tcp 2001:DB8:CC1E:2::/64
2001:DB8:CC1E:A::/64 eq www
ipv6 permit any any (3 matches)
2013 Cisco e/ou suas afiliadas. Todos os direitos reservados.

Os comandos deny e
permit so usados para
especificar uma ou mais
condies para
especificar uma ou mais
condies para
determinar se um pacote
ser enviado ou
descartado.
Pblico da Cisco

Editando as ACLs IPv6


Para editar as ACLs IPv6, voc pode inserir uma instruo da

ACL com base no nmero de sequncia. Por padro, os nmeros


de sequncia so aumentados em 10.
R1#show access-lists
IPv6 access list NO_TELNET
permit tcp host 2001:DB8:CC1E:1::1 any eq telnet (2 matches) sequence 10
IPv6 access list DENY_WWW_FTP
deny tcp 2001:DB8:CC1E:1::/64 2001:DB8:CC1E:A::/64 eq www sequence 20
deny tcp 2001:DB8:CC1E:1::/64 2001:DB8:CC1E:A::/64 eq ftp sequence 30
deny tcp 2001:DB8:CC1E:2::/64 2001:DB8:CC1E:A::/64 eq www sequence 40
deny tcp 2001:DB8:CC1E:2::/64 2001:DB8:CC1E:A::/64 eq ftp sequence 50
permit ipv6 any any sequence 60

R1(config)#ipv6 access-list DENY_WWW_FTP


R1(config-ipv6-acl)#permit tcp host 2001:db8:cc1e:1::12 host 2001:db8:cc1e:a:: eq www sequence 25
R1(config-ipv6-acl)#permit tcp host 2001:db8:cc1e:1::12 host 2001:db8:cc1e:a:: eq ftp sequence 25
R1#show ipv6 access-list
IPv6 access list NO_TELNET
permit tcp host 2001:DB8:CC1E:1::1 any eq telnet (2 matches) sequence 10
IPv6 access list DENY_WWW_FTP
deny tcp 2001:DB8:CC1E:1::/64 2001:DB8:CC1E:A::/64 eq www sequence 20
permit tcp host 2001:DB8:CC1E:1::12 host 2001:DB8:CC1E:A:: eq www sequence 25
permit tcp host 2001:DB8:CC1E:1::12 host 2001:DB8:CC1E:A:: eq ftp sequence 25
deny tcp 2001:DB8:CC1E:1::/64 2001:DB8:CC1E:A::/64 eq ftp sequence 30
deny tcp 2001:DB8:CC1E:2::/64 2001:DB8:CC1E:A::/64 eq ftp sequence 40
deny tcp 2001:DB8:CC1E:2::/64 2001:DB8:CC1E:A::/64 eq www sequence 50
permit ipv6 any any sequence 60
2013 Cisco e/ou suas afiliadas. Todos os direitos reservados.

Pblico da Cisco

Obrigado.