Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • IPv6 ACL

    Enviado por

    Marcos Gustavo Alves
    8 visualizações10 páginas

    Título original

    IPv6 ACL.pptx

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    PPTX, PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PPTX, PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    8 visualizações10 páginas

    IPv6 ACL

    Enviado por

    Marcos Gustavo Alves

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PPTX, PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 10

    ACLs IPv6

    John Rullan
    Treinador de instrutores
    certificado pela Cisco
    Thomas A.Edison CTE HS

    Stephen Lynch
    Arquiteto de rede, CCIE #36243
    Arquitetos de tecnologia ABS
    Operação da ACL IPv6
    • As ACLs IPv6 são similares às ACLs IPv4 tanto em sua operação
    quanto em sua configuração. Conhecer as listas de acesso IPv4
    torna mais fácil entender e configurar as ACLs IPv6
    • IPv6 possui apenas um tipo de ACL, que equivale a uma IPv4
    com ACL de nome extenso.
    • Não há ACLs numeradas na IPv6, somente ACLs nomeadas.
    • IPv4 usa o comando ip access-group para aplicar uma ACL IPv4
    a uma interface IPv4. IPv6 usa o comando ipv6 traffic-filter
    para executar a mesma função que as ACLs IPv6.
    • As ACLs IPv6 não utilizam máscaras curinga. Ao invés disso,
    usa-se o tamanho do prefixo da rede para indicar a quantidade
    de uma fonte IPv6 ou endereço de destino que deve ser
    verificada.

    © 2013 Cisco e/ou suas afiliadas. Todos os direitos reservados. Público da Cisco 2
    Topologia da ACL IPv6
    2001:DB8:CAFE::2/127

    Internet
    S0/0/1
    S0/0/0
    R2
    2001:DB8:CC1E::/127
    2001:DB8:CC1E:A::/64

    S0/0/0

    R1 ISP_ASW
    2001:DB8:CC1E:1::/64 2001:DB8:CC1E:2::/64

    S1 S2 Host
    externo

    2001:DB8:CC1E:A::1/64

    Admin Host
    Servidor DNS
    Servidor Web 2001:DB8:CC1E:A::2/64
    www.cisco.pka
    2001:DB8:CC1E:1::1/64 2001:DB8:CC1E:2::1/64 2001:DB8:CC1E:A::2/64

    © 2013 Cisco e/ou suas afiliadas. Todos os direitos reservados. Público da Cisco 3
    Restringindo o acesso às linhas VTY
    2001:DB8:CC1E:1::/64 2001:DB8:CC1E:2::/64

    S1 R1 S2

    Admin Host

    2001:DB8:CC1E:1::1/64 2001:DB8:CC1E:2::1/64

    • Neste exemplo, nós permitiremos que apenas o PC do Administrador


    faça a telnet no R1 e recuse todas as outras.
    • Utilize o comando ipv6 access-list para criar uma ACL IPv6 nomeada.
    Assim como ACLs IPv4 nomeadas, os nomes de IPv6 devem ser
    alfanuméricos, sensíveis a maiúsculas e minúsculas e únicas.
    • Utilize as instruções permitir ou negar para especificar uma ou mais
    condições para determinar se um pacote será enviado ou descartado.
    • Utilize o comando ipv6 access-class para aplicar uma ACL às linhas
    VTY.

    © 2013 Cisco e/ou suas afiliadas. Todos os direitos reservados. Público da Cisco 4
    Exemplo de configuração de ACL
    • A instrução permitir permite que apenas o Administrador do PC
    possa fazer a telnet no R1.
    • A instrução implícita de negar (não configurada) impedirá que
    todas as outras estabeleçam uma sessão telnet com R1.
    • Aplicar a ACL às linhas VTY usando o comando ipv6 access-
    class e com in como direção.

    R1(config)#ipv6 access-list NO_TELNET


    R1(config-ipv6-acl)#permit tcp host 2001:db8:cc1e:1::1 any eq 23
    R1(config-ipv6-acl)#exit
    R1(config)#line vty 0 15
    R1(config-line)#ipv6 access-class NO_TELNET in
    R1(config-line)#exit
    R1(config)#

    © 2013 Cisco e/ou suas afiliadas. Todos os direitos reservados. Público da Cisco 5
    Exemplo de configuração de ACL
    (continuação)
    • O comando show access-lists exibe todas as ACLs IPv4 e IPv6
    configuradas no roteador.
    • O comando show ipv6 access-list exibirá todas as listas de
    acesso IPv6 configuradas por nomes específicos. (No numbered
    IPv6 ACLs)
    R1#show ipv6 access-list
    IPv6 access list NO_TELNET
    permit tcp host 2001:DB8:CC1E:1::1 any eq telnet

    2001:DB8:CC1E:1::/64 2001:DB8:CC1E:2::/64

    S1 R1 S2

    Admin Host

    2001:DB8:CC1E:1::1/64 2001:DB8:CC1E:2::1/64

    © 2013 Cisco e/ou suas afiliadas. Todos os direitos reservados. Público da Cisco 6
    Acesso restrito ao
    servidor da web
    Configurar uma ACL estendida para
    bloquear a origem das aplicações
    TCP de HTTP e de tráfego de FTP
    do PC administrador e do PC host e
    fornecer endereços IPv6 específicos
    se destinados a LAN da internet.
    Permitir todos os tipos de tráfego
    restantes.

    R1(config)#ipv6 access-list DENY_WWW_FTP


    R1(config-ipv6-acl)#remark Deny WWW and FTP access from R1 LANs to Web Server
    R1(config-ipv6-acl)#deny tcp 2001:db8:cc1e:1::/64 2001:db8:cc1e:a::/64 eq www
    R1(config-ipv6-acl)#deny tcp 2001:db8:cc1e:1::/64 2001:db8:cc1e:a::/64 eq ftp
    R1(config-ipv6-acl)#deny tcp 2001:db8:cc1e:2::/64 2001:db8:cc1e:a::/64 eq www
    R1(config-ipv6-acl)#deny tcp 2001:db8:cc1e:2::/64 2001:db8:cc1e:a::/64 eq ftp
    R1(config-ipv6-acl)#permit ipv6 any any
    R1(config-ipv6-acl)#exit
    R1(config)# int s0/0/0
    R1(config-if)# ipv6 traffic-filter DENY_WWW_FTP out

    © 2013 Cisco e/ou suas afiliadas. Todos os direitos reservados. Público da Cisco 7
    Comandos de verificação de ACL IPv6
    R1#show ipv6 access-list DENY_WWW_FTP
    IPv6 access list DENY_WWW_FTP

    deny tcp 2001:DB8:CC1E:1::/64


    2001:DB8:CC1E:A::/64 eq www A ACL verificou 28
    (28 matches) negativas baseadas na
    informação da ACL.
    deny tcp 2001:DB8:CC1E:1::/64
    2001:DB8:CC1E:A::/64 eq ftp
    Os comandos deny e
    deny tcp 2001:DB8:CC1E:2::/64 permit são usados para
    2001:DB8:CC1E:A::/64 eq ftp especificar uma ou mais
    condições para
    deny tcp 2001:DB8:CC1E:2::/64 especificar uma ou mais
    2001:DB8:CC1E:A::/64 eq www condições para
    determinar se um pacote
    ipv6 permit any any (3 matches) será enviado ou
    descartado.

    © 2013 Cisco e/ou suas afiliadas. Todos os direitos reservados. Público da Cisco 8
    Editando as ACLs IPv6
    • Para editar as ACLs IPv6, você pode inserir uma instrução da
    ACL com base no número de sequência. Por padrão, os números
    de sequência são aumentados em 10.
    R1#show access-lists
    IPv6 access list NO_TELNET
    permit tcp host 2001:DB8:CC1E:1::1 any eq telnet (2 matches) sequence 10
    IPv6 access list DENY_WWW_FTP
    deny tcp 2001:DB8:CC1E:1::/64 2001:DB8:CC1E:A::/64 eq www sequence 20
    deny tcp 2001:DB8:CC1E:1::/64 2001:DB8:CC1E:A::/64 eq ftp sequence 30
    deny tcp 2001:DB8:CC1E:2::/64 2001:DB8:CC1E:A::/64 eq www sequence 40
    deny tcp 2001:DB8:CC1E:2::/64 2001:DB8:CC1E:A::/64 eq ftp sequence 50
    permit ipv6 any any sequence 60

    R1(config)#ipv6 access-list DENY_WWW_FTP


    R1(config-ipv6-acl)#permit tcp host 2001:db8:cc1e:1::12 host 2001:db8:cc1e:a:: eq www sequence 25
    R1(config-ipv6-acl)#permit tcp host 2001:db8:cc1e:1::12 host 2001:db8:cc1e:a:: eq ftp sequence 25

    R1#show ipv6 access-list


    IPv6 access list NO_TELNET
        permit tcp host 2001:DB8:CC1E:1::1 any eq telnet (2 matches) sequence 10
    IPv6 access list DENY_WWW_FTP
        deny tcp 2001:DB8:CC1E:1::/64 2001:DB8:CC1E:A::/64 eq www sequence 20
    permit tcp host 2001:DB8:CC1E:1::12 host 2001:DB8:CC1E:A:: eq www sequence 25
    permit tcp host 2001:DB8:CC1E:1::12 host 2001:DB8:CC1E:A:: eq ftp sequence 25
        deny tcp 2001:DB8:CC1E:1::/64 2001:DB8:CC1E:A::/64 eq ftp sequence 30
        deny tcp 2001:DB8:CC1E:2::/64 2001:DB8:CC1E:A::/64 eq ftp sequence 40
        deny tcp 2001:DB8:CC1E:2::/64 2001:DB8:CC1E:A::/64 eq www sequence 50
        permit ipv6 any any sequence 60

    © 2013 Cisco e/ou suas afiliadas. Todos os direitos reservados. Público da Cisco 9
    Obrigado.

    Você também pode gostar