ACL et ACE IPv6 sur commutateurs gérés de la gamme 300

Mis à jour:18 août 2017

ID du document:SMB69

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

ACL et ACE IPv6 sur commutateurs gérés de la gamme 300

Objectif

Cet article explique comment créer une ACL et une ACE IPv6 sur les commutateurs gérés de la gamme 300. Il peut autoriser ou refuser l'entrée de paquets aux adresses IP configurées sur la liste d'accès. Les règles de la liste de contrôle d’accès sont fournies par les entrées de contrôle d’accès (ACE).

Périphériques pertinents

Commutateurs gérés de la gamme 300

Configuration de la liste de contrôle d'accès et de l'ACE IPv6

ACL IPv6

Étape 1. Utilisez l'utilitaire de configuration pour sélectionner Access Control > IPv6-Based ACL. La page ACL basée sur IPv6 s'ouvre. Cette page affiche la liste des listes de contrôle d’accès actuellement définies.

Étape 2. Cliquez sur Ajouter pour ajouter une nouvelle liste d'accès.

Étape 3. Entrez un nom pour la liste de contrôle d’accès dans le champ Nom de la liste de contrôle d’accès.

Étape 4. Cliquez sur Apply pour écrire la liste de contrôle d'accès IPv6 dans le fichier de configuration en cours.

Configuration ACE basée sur IPv6

Pour ajouter une entrée de contrôle d'accès (ACE) à la liste de contrôle d'accès, procédez comme suit :

Étape 1. Utilisez l'utilitaire de configuration pour sélectionner Access Control > IPv6-Based ACE. La page ACE basée sur IPv6 s'ouvre :

Étape 2. Choisissez une liste de contrôle d’accès dans la liste déroulante Nom de la liste de contrôle d’accès égal à, puis cliquez sur Ajouter. La fenêtre Add IPv6-based ACE apparaît.

Étape 3. Saisissez la priorité des ACE dans le champ Priority (Priorité). La priorité la plus élevée est traitée en premier qui est 1. Il a une plage de 1 - 2147483647.

Étape 4. Cliquez sur la case d'option correspondant à l'action souhaitée qui se produit lorsque le paquet correspond dans le champ Action.

Permit : autorise les paquets qui correspondent aux critères ACE.
Deny : supprime les paquets qui répondent aux critères ACE.
Shutdown : supprime les paquets qui répondent aux critères ACE et désactive le port d'où les paquets ont été reçus. Ces ports peuvent être réactivés à partir de la page des paramètres de port.

Étape 5. Cliquez sur la case d'option correspondant au protocole souhaité pour l'ACE, qui sont configurés pour tous les protocoles réseau routés afin de filtrer les paquets lorsque ces paquets traversent un routeur.

Any : il choisit l'un des protocoles ACE basés sur IPv6.
Select from list : sélectionnez l'un des protocoles dans la liste déroulante (TCP, UDP, ICMP).
Protocol ID to match : il est utilisé pour faire correspondre le protocole à un ID. La valeur par défaut pour différents protocoles comme TCP est 6, UDP est 17 et ICMP est 58 ou l'utilisateur peut définir n'importe quelle valeur.

Étape 6. Cliquez sur Any si toutes les adresses source sont acceptables ou User Define si une valeur d'adresse IP source avec sa longueur de préfixe doit être entrée dans le champ Source IP Address.

Étape 7. Cliquez sur Any si toutes les adresses de destination sont acceptables ou Défini par l'utilisateur si une valeur d'adresse IP de destination avec sa longueur de préfixe doit être entrée dans le champ Destination IP Address.

Étape 8. Le port source est activé uniquement lorsque vous choisissez le protocole TCP et UDP à l'étape 5. Cliquez sur Any si tous les ports source sont acceptables ou la valeur Single de la plage 0 à 65535 donnée ou une plage de ports source doit être saisie.

Étape 9. Le port de destination n'est activé que lorsque vous choisissez le protocole TCP et UDP à l'étape 5. Cliquez sur Any si tous les ports source sont acceptables ou la valeur Single de la plage 0 à 65535 donnée ou une plage de ports de destination doit être saisie.

Étape 10. Les indicateurs TCP sont activés uniquement lorsque vous choisissez le protocole TCP à l'étape 5. Cliquez sur l'un des indicateurs avec différentes options Défini comme 1 ou sur, Désactivé comme 0 ou Désactivé ou Ne vous souciez pas comme x.

Urg : cet indicateur est utilisé pour identifier les données entrantes comme urgentes.
Ack : cet indicateur est utilisé pour accuser réception des paquets.
Psh — Cet indicateur est utilisé pour s'assurer que les données reçoivent la priorité (qu'elles méritent) et qu'elles sont traitées à l'extrémité d'envoi ou de réception.
Rst : cet indicateur est utilisé lorsqu'un segment arrive qui n'est pas destiné à la connexion actuelle.
Syn : cet indicateur est utilisé pour les communications TCP.
Fin : cet indicateur est utilisé lorsque la communication ou le transfert de données est terminé.

Étape 11. Cliquez sur la case d'option correspondant au type de service souhaité pour le contrôle de l'encombrement du trafic dans le champ Type de service.

Any : tout type de service est utilisé pour la congestion du trafic.
DSCP à faire correspondre — DSCP (Differentiated Service Code Point) est un mécanisme de classification et de gestion du trafic réseau. Six bits(0-63) permettent de sélectionner le comportement par saut d’un paquet au niveau de chaque noeud.
IP Precedence to match : pour définir un type de préférence pour les paquets IPv6. Le mot clé avec la valeur de préférence IP est 0 pour la routine, 1 pour la priorité, 2 pour l'immédiat, 3 pour la mémoire flash, 4 pour la mémoire flash-override, 5 pour la mémoire critique, 6 pour Internet, 7 pour le réseau.

Étape 12. ICMP est activé uniquement lorsque vous choisissez le protocole ICMP à l'étape 11. Il est utilisé pour envoyer des messages d'erreur lorsque le service n'est pas disponible ou qu'un hôte ou un routeur n'a pas pu être atteint. Il est également utilisé pour les messages de requête de relais.

Any : il peut s'agir d'un message d'erreur ou d'un message de requête.
Sélectionner dans la liste — Il a une liste déroulante des messages de contrôle autorisés comme suit :

- Destination inaccessible — Elle est générée par l'hôte ou sa passerelle pour informer le client que la destination est inaccessible pour une raison quelconque (erreur réseau ou hôte inaccessible, etc.).

- Packet Too Big : la taille du datagramme est dépassée par rapport à la MTU donnée.

- Temps dépassé : il est généré par une passerelle pour informer la source d'un datagramme rejeté en raison du temps nécessaire pour que le champ actif atteigne zéro.

- Problème de paramètre — Il est généré en réponse à toute erreur non spécifiquement couverte par un autre message ICMP.

- Demande d’écho — Il s’agit d’une requête ping, dont les données doivent être reçues dans une réponse d’écho.

- Réponse d'écho — Elle est générée en réponse à une demande d'écho.

- Requête MLD — Permet d'apprendre quelles adresses de multidiffusion ont des écouteurs sur une liaison connectée. Tapez 130 en notation décimale.

- Rapport MLD — Il est généré lorsque l'adresse de multidiffusion IPv6 à laquelle l'expéditeur du message écoute

- Rapport MLD V2 — Il est identique à Rapport MLD avec la version 2.

- MLD Done : lorsque l'hôte quitte un groupe, il envoie un message d'écoute de multidiffusion aux routeurs de multidiffusion sur le réseau.

- Sollicitation de routeur — Il s’agit d’un message de découverte de routeur. Les hôtes découvrent les adresses de leurs routeurs voisins simplement en écoutant des annonces. Par défaut = 224.0.0.2 pour la multidiffusion, sinon 255.255.255.255.

- Annonce de routeur : le routeur diffuse périodiquement une annonce de routeur à partir de chacune de ses interfaces de multidiffusion, en annonçant les adresses IP de cette interface.

- ND NS : les messages sont émis par des noeuds pour demander l'adresse de couche liaison d'un autre noeud, ainsi que pour des fonctions telles que la détection des adresses en double et la détection de l'inaccessibilité des voisins.

- NA ND : les messages sont envoyés en réponse aux messages NS. Si un noeud modifie son adresse de couche liaison, il peut envoyer une adresse réseau non sollicitée pour annoncer la nouvelle adresse

Étape 13. Le code ICMP est activé uniquement lorsque vous choisissez le protocole ICMP à l'étape 11. Il est utilisé pour fournir des informations plus spécifiques des messages de contrôle avec une valeur.

Type ICMP à faire correspondre — L'utilisateur doit entrer une plage comprise entre 0 et 255 pour correspondre aux messages de contrôle ICMP.
Any : il peut s'agir de n'importe quelle valeur qui correspond au message de contrôle.
Défini par l'utilisateur : la valeur est définie à partir de la plage comprise entre 0 et 255, pour correspondre aux messages de contrôle.

Étape 14. Cliquez sur Apply qui écrit l'ACE IPv6 dans le fichier de configuration en cours.

Historique de révision

Révision	Date de publication	Commentaires
1.0	10-Dec-2018	Première publication

Ce document vous est-il utile?

Commentaires

Contacter Cisco

Ouvrir un dossier d’assistance
(Un contrat de service de Cisco est requis)