Escolar Documentos
Profissional Documentos
Cultura Documentos
John Rullan
Treinador de instrutores
certificado pela Cisco
Thomas A.Edison CTE HS
Stephen Lynch
Arquiteto de rede, CCIE #36243
Arquitetos de tecnologia ABS
Operação da ACL IPv6
• As ACLs IPv6 são similares às ACLs IPv4 tanto em sua operação
quanto em sua configuração. Conhecer as listas de acesso IPv4
torna mais fácil entender e configurar as ACLs IPv6
• IPv6 possui apenas um tipo de ACL, que equivale a uma IPv4
com ACL de nome extenso.
• Não há ACLs numeradas na IPv6, somente ACLs nomeadas.
• IPv4 usa o comando ip access-group para aplicar uma ACL IPv4
a uma interface IPv4. IPv6 usa o comando ipv6 traffic-filter
para executar a mesma função que as ACLs IPv6.
• As ACLs IPv6 não utilizam máscaras curinga. Ao invés disso,
usa-se o tamanho do prefixo da rede para indicar a quantidade
de uma fonte IPv6 ou endereço de destino que deve ser
verificada.
© 2013 Cisco e/ou suas afiliadas. Todos os direitos reservados. Público da Cisco 2
Topologia da ACL IPv6
2001:DB8:CAFE::2/127
Internet
S0/0/1
S0/0/0
R2
2001:DB8:CC1E::/127
2001:DB8:CC1E:A::/64
S0/0/0
R1 ISP_ASW
2001:DB8:CC1E:1::/64 2001:DB8:CC1E:2::/64
S1 S2 Host
externo
2001:DB8:CC1E:A::1/64
Admin Host
Servidor DNS
Servidor Web 2001:DB8:CC1E:A::2/64
www.cisco.pka
2001:DB8:CC1E:1::1/64 2001:DB8:CC1E:2::1/64 2001:DB8:CC1E:A::2/64
© 2013 Cisco e/ou suas afiliadas. Todos os direitos reservados. Público da Cisco 3
Restringindo o acesso às linhas VTY
2001:DB8:CC1E:1::/64 2001:DB8:CC1E:2::/64
S1 R1 S2
Admin Host
2001:DB8:CC1E:1::1/64 2001:DB8:CC1E:2::1/64
© 2013 Cisco e/ou suas afiliadas. Todos os direitos reservados. Público da Cisco 4
Exemplo de configuração de ACL
• A instrução permitir permite que apenas o Administrador do PC
possa fazer a telnet no R1.
• A instrução implícita de negar (não configurada) impedirá que
todas as outras estabeleçam uma sessão telnet com R1.
• Aplicar a ACL às linhas VTY usando o comando ipv6 access-
class e com in como direção.
© 2013 Cisco e/ou suas afiliadas. Todos os direitos reservados. Público da Cisco 5
Exemplo de configuração de ACL
(continuação)
• O comando show access-lists exibe todas as ACLs IPv4 e IPv6
configuradas no roteador.
• O comando show ipv6 access-list exibirá todas as listas de
acesso IPv6 configuradas por nomes específicos. (No numbered
IPv6 ACLs)
R1#show ipv6 access-list
IPv6 access list NO_TELNET
permit tcp host 2001:DB8:CC1E:1::1 any eq telnet
2001:DB8:CC1E:1::/64 2001:DB8:CC1E:2::/64
S1 R1 S2
Admin Host
2001:DB8:CC1E:1::1/64 2001:DB8:CC1E:2::1/64
© 2013 Cisco e/ou suas afiliadas. Todos os direitos reservados. Público da Cisco 6
Acesso restrito ao
servidor da web
Configurar uma ACL estendida para
bloquear a origem das aplicações
TCP de HTTP e de tráfego de FTP
do PC administrador e do PC host e
fornecer endereços IPv6 específicos
se destinados a LAN da internet.
Permitir todos os tipos de tráfego
restantes.
© 2013 Cisco e/ou suas afiliadas. Todos os direitos reservados. Público da Cisco 7
Comandos de verificação de ACL IPv6
R1#show ipv6 access-list DENY_WWW_FTP
IPv6 access list DENY_WWW_FTP
© 2013 Cisco e/ou suas afiliadas. Todos os direitos reservados. Público da Cisco 8
Editando as ACLs IPv6
• Para editar as ACLs IPv6, você pode inserir uma instrução da
ACL com base no número de sequência. Por padrão, os números
de sequência são aumentados em 10.
R1#show access-lists
IPv6 access list NO_TELNET
permit tcp host 2001:DB8:CC1E:1::1 any eq telnet (2 matches) sequence 10
IPv6 access list DENY_WWW_FTP
deny tcp 2001:DB8:CC1E:1::/64 2001:DB8:CC1E:A::/64 eq www sequence 20
deny tcp 2001:DB8:CC1E:1::/64 2001:DB8:CC1E:A::/64 eq ftp sequence 30
deny tcp 2001:DB8:CC1E:2::/64 2001:DB8:CC1E:A::/64 eq www sequence 40
deny tcp 2001:DB8:CC1E:2::/64 2001:DB8:CC1E:A::/64 eq ftp sequence 50
permit ipv6 any any sequence 60
© 2013 Cisco e/ou suas afiliadas. Todos os direitos reservados. Público da Cisco 9
Obrigado.