Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • IPv6 ACL

    Enviado por

    paulo_cyrillo
    29 visualizações10 páginas

    Título original

    IPv6 ACL.pptx

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    PPTX, PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PPTX, PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    29 visualizações10 páginas

    IPv6 ACL

    Enviado por

    paulo_cyrillo

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PPTX, PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 10

    ACLs IPv6

    John Rullan
    Treinador de instrutores
    certificado pela Cisco
    Thomas A.Edison CTE HS
    Stephen Lynch
    Arquiteto de rede, CCIE #36243
    Arquitetos de tecnologia ABS

    Operao da ACL IPv6


    As ACLs IPv6 so similares s ACLs IPv4 tanto em sua operao

    quanto em sua configurao. Conhecer as listas de acesso IPv4


    torna mais fcil entender e configurar as ACLs IPv6
    IPv6 possui apenas um tipo de ACL, que equivale a uma IPv4

    com ACL de nome extenso.


    No h ACLs numeradas na IPv6, somente ACLs nomeadas.
    IPv4 usa o comando ip access-group para aplicar uma ACL IPv4

    a uma interface IPv4. IPv6 usa o comando ipv6 traffic-filter


    para executar a mesma funo que as ACLs IPv6.
    As ACLs IPv6 no utilizam mscaras curinga. Ao invs disso,

    usa-se o tamanho do prefixo da rede para indicar a quantidade


    de uma fonte IPv6 ou endereo de destino que deve ser
    verificada.
    2013 Cisco e/ou suas afiliadas. Todos os direitos reservados.

    Pblico da Cisco

    Topologia da ACL IPv6


    2001:DB8:CAFE::2/127

    S0/0/0

    R2

    Internet

    S0/0/1

    2001:DB8:CC1E::/127
    2001:DB8:CC1E:A::/64

    S0/0/0

    ISP_ASW

    R1
    2001:DB8:CC1E:1::/64

    S1

    2001:DB8:CC1E:2::/64

    S2

    Host
    externo

    2001:DB8:CC1E:A::1/64

    Admin

    2001:DB8:CC1E:1::1/64

    2013 Cisco e/ou suas afiliadas. Todos os direitos reservados.

    Host

    2001:DB8:CC1E:2::1/64

    Servidor DNS
    2001:DB8:CC1E:A::2/64
    Servidor Web
    www.cisco.pka
    2001:DB8:CC1E:A::2/64

    Pblico da Cisco

    Restringindo o acesso s linhas VTY


    2001:DB8:CC1E:1::/64
    S1

    2001:DB8:CC1E:2::/64
    S2

    R1

    Admin

    2001:DB8:CC1E:1::1/64

    Host

    2001:DB8:CC1E:2::1/64

    Neste exemplo, ns permitiremos que apenas o PC do Administrador

    faa a telnet no R1 e recuse todas as outras.


    Utilize o comando ipv6 access-list para criar uma ACL IPv6 nomeada.

    Assim como ACLs IPv4 nomeadas, os nomes de IPv6 devem ser


    alfanumricos, sensveis a maisculas e minsculas e nicas.
    Utilize as instrues permitir ou negar para especificar uma ou mais

    condies para determinar se um pacote ser enviado ou descartado.


    Utilize o comando ipv6 access-class para aplicar uma ACL s linhas

    VTY.
    2013 Cisco e/ou suas afiliadas. Todos os direitos reservados.

    Pblico da Cisco

    Exemplo de configurao de ACL


    A instruo permitir permite que apenas o Administrador do PC

    possa fazer a telnet no R1.


    A instruo implcita de negar (no configurada) impedir que

    todas as outras estabeleam uma sesso telnet com R1.


    Aplicar a ACL s linhas VTY usando o comando ipv6 access-

    class e com in como direo.


    R1(config)#ipv6 access-list NO_TELNET
    R1(config-ipv6-acl)#permit tcp host 2001:db8:cc1e:1::1 any eq 23
    R1(config-ipv6-acl)#exit
    R1(config)#line vty 0 15
    R1(config-line)#ipv6 access-class NO_TELNET in
    R1(config-line)#exit
    R1(config)#

    2013 Cisco e/ou suas afiliadas. Todos os direitos reservados.

    Pblico da Cisco

    Exemplo de configurao de ACL


    (continuao)
    O comando show access-lists exibe todas as ACLs IPv4 e IPv6

    configuradas no roteador.
    O comando show ipv6 access-list exibir todas as listas de

    acesso IPv6 configuradas por nomes especficos. (No numbered


    IPv6 ACLs)
    R1#show ipv6 access-list
    IPv6 access list NO_TELNET
    permit tcp host 2001:DB8:CC1E:1::1 any eq telnet
    2001:DB8:CC1E:1::/64
    S1

    Admin

    2001:DB8:CC1E:1::1/64

    2013 Cisco e/ou suas afiliadas. Todos os direitos reservados.

    2001:DB8:CC1E:2::/64
    R1

    S2

    Host

    2001:DB8:CC1E:2::1/64

    Pblico da Cisco

    Acesso restrito ao
    servidor da web
    Configurar uma ACL estendida para
    bloquear a origem das aplicaes
    TCP de HTTP e de trfego de FTP
    do PC administrador e do PC host e
    fornecer endereos IPv6 especficos
    se destinados a LAN da internet.
    Permitir todos os tipos de trfego
    restantes.
    R1(config)#ipv6 access-list DENY_WWW_FTP
    R1(config-ipv6-acl)#remark Deny WWW and FTP access from R1 LANs to Web Server
    R1(config-ipv6-acl)#deny tcp 2001:db8:cc1e:1::/64 2001:db8:cc1e:a::/64 eq www
    R1(config-ipv6-acl)#deny tcp 2001:db8:cc1e:1::/64 2001:db8:cc1e:a::/64 eq ftp
    R1(config-ipv6-acl)#deny tcp 2001:db8:cc1e:2::/64 2001:db8:cc1e:a::/64 eq www
    R1(config-ipv6-acl)#deny tcp 2001:db8:cc1e:2::/64 2001:db8:cc1e:a::/64 eq ftp
    R1(config-ipv6-acl)#permit ipv6 any any
    R1(config-ipv6-acl)#exit
    R1(config)# int s0/0/0
    R1(config-if)# ipv6 traffic-filter DENY_WWW_FTP out
    2013 Cisco e/ou suas afiliadas. Todos os direitos reservados.

    Pblico da Cisco

    Comandos de verificao de ACL IPv6


    R1#show ipv6 access-list DENY_WWW_FTP
    IPv6 access list DENY_WWW_FTP
    deny tcp 2001:DB8:CC1E:1::/64
    2001:DB8:CC1E:A::/64 eq www
    (28 matches)

    A ACL verificou 28
    negativas baseadas na
    informao da ACL.

    deny tcp 2001:DB8:CC1E:1::/64


    2001:DB8:CC1E:A::/64 eq ftp
    deny tcp 2001:DB8:CC1E:2::/64
    2001:DB8:CC1E:A::/64 eq ftp
    deny tcp 2001:DB8:CC1E:2::/64
    2001:DB8:CC1E:A::/64 eq www
    ipv6 permit any any (3 matches)
    2013 Cisco e/ou suas afiliadas. Todos os direitos reservados.

    Os comandos deny e
    permit so usados para
    especificar uma ou mais
    condies para
    especificar uma ou mais
    condies para
    determinar se um pacote
    ser enviado ou
    descartado.
    Pblico da Cisco

    Editando as ACLs IPv6


    Para editar as ACLs IPv6, voc pode inserir uma instruo da

    ACL com base no nmero de sequncia. Por padro, os nmeros


    de sequncia so aumentados em 10.
    R1#show access-lists
    IPv6 access list NO_TELNET
    permit tcp host 2001:DB8:CC1E:1::1 any eq telnet (2 matches) sequence 10
    IPv6 access list DENY_WWW_FTP
    deny tcp 2001:DB8:CC1E:1::/64 2001:DB8:CC1E:A::/64 eq www sequence 20
    deny tcp 2001:DB8:CC1E:1::/64 2001:DB8:CC1E:A::/64 eq ftp sequence 30
    deny tcp 2001:DB8:CC1E:2::/64 2001:DB8:CC1E:A::/64 eq www sequence 40
    deny tcp 2001:DB8:CC1E:2::/64 2001:DB8:CC1E:A::/64 eq ftp sequence 50
    permit ipv6 any any sequence 60

    R1(config)#ipv6 access-list DENY_WWW_FTP


    R1(config-ipv6-acl)#permit tcp host 2001:db8:cc1e:1::12 host 2001:db8:cc1e:a:: eq www sequence 25
    R1(config-ipv6-acl)#permit tcp host 2001:db8:cc1e:1::12 host 2001:db8:cc1e:a:: eq ftp sequence 25
    R1#show ipv6 access-list
    IPv6 access list NO_TELNET
    permit tcp host 2001:DB8:CC1E:1::1 any eq telnet (2 matches) sequence 10
    IPv6 access list DENY_WWW_FTP
    deny tcp 2001:DB8:CC1E:1::/64 2001:DB8:CC1E:A::/64 eq www sequence 20
    permit tcp host 2001:DB8:CC1E:1::12 host 2001:DB8:CC1E:A:: eq www sequence 25
    permit tcp host 2001:DB8:CC1E:1::12 host 2001:DB8:CC1E:A:: eq ftp sequence 25
    deny tcp 2001:DB8:CC1E:1::/64 2001:DB8:CC1E:A::/64 eq ftp sequence 30
    deny tcp 2001:DB8:CC1E:2::/64 2001:DB8:CC1E:A::/64 eq ftp sequence 40
    deny tcp 2001:DB8:CC1E:2::/64 2001:DB8:CC1E:A::/64 eq www sequence 50
    permit ipv6 any any sequence 60
    2013 Cisco e/ou suas afiliadas. Todos os direitos reservados.

    Pblico da Cisco

    Obrigado.

    Você também pode gostar