Configuration Ipv6 avec Cisco 877 et Nerim

Cet exemple traite de la configuration d'ipv6 sur un routeur cisco série 800 (en l'occurence un 877 avec modem ADSL intégré), et le formidable fournisseur d'accès Nerim.

Pré-requis

Il est indispensable de mettre à jour l'IOS du routeur. de préférence pour un "Advanced Ip Services". L'IOS de base n'étant pas pourvu de la pile Ipv6 !

Connaitre la plage ipv6 attribuée par le fournisseur d'accès : Nerim fournit des plage du type : 2001:7a8:xxxx::/48

Première étape : Se connecter au routeur.

Plusieurs solutions possibles : le cable console, ou SSH ... libre à vous de choisir ... pas de recommandation à avoir particulièrement, car si votre routeur est correctement configuré en ipv4, il n'y a aucun risque de se "couper la branche".

Configuration des interfaces

Sur un cisco 877, deux interfaces sont primordiales : Dialer0 et Vlan1, nous allons donc configurer ces interfaces pour activer ipv6.

conf t    # pour passer en mode configuration
 ipv6 icmp error-interval 0
 ipv6 unicast-routing
 ipv6 cef
 int Dialer 0
 ipv6 enable
 ipv6 mtu 1280
 int Vlan 1
 ipv6 enable
 ipv6 mtu 1280

Adressage

L'adressage, tout comme ipv4 peut se faire de deux manières :

Statique

dans ce cas, il est possible d'utiliser des adresses facilement reconnaissables : par ex. 2001:7a8:1111::1, 2001:7a8:1111::2, etc.

Configurons le routeur avec une adresse ipv6 statique :

conf t
 int Vlan 1
 ipv6 address 2001:7A8:1111::1/48

Dynamique avec Router Advertisement

Semblable à un DHCP pour un réseau Ipv4, il permet d'autoconfigurer les interfaces réseau des serveurs et postes de travail. L'adressage se base alors sur l'adresse mac de la carte réseau connectée (suivant la norme eui-64).

 
conf t
int Vlan 1
ipv6 address 2001:7A8:1111::/64 eui-64
ipv6 enable
ipv6 mtu 1280
ipv6 nd prefix 2001:7A8:1111::/64
ipv6 nd ra interval 60
ipv6 nd ra lifetime 180

Votre routeur est prêt ! et devrait diffuser automatiquement les adresses ipv6 aux machines connectées au réseau local.

Filtrage

Etape relativement importante, car depuis que vous êtes en ipv6, toutes les machines de votre réseau sont accessible publiquement sur internet.

Voici un exemple qui permet à toutes les machines du réseau local de sortir sur internet en ipv6 sur les protocoles ssh, whois, ftp , http, et https , et de filtrer l'accès en entrée à HTTP et SSH sur une machine particulière mais autoriser le ping de partout.

conf t
! Création de l'access list de sortie
ipv6 access-list out-ipv6
 permit tcp 2001:7A8:1111::/48 any eq 80
 permit tcp 2001:7A8:1111::/48 any eq 22
 permit tcp 2001:7A8:1111::/48 any eq 43
 permit tcp 2001:7A8:1111::/48 any eq 22
 permit tcp 2001:7A8:1111::/48 any eq 21
 permit tcp 2001:7A8:1111::/48 any eq 20
 permit icmp any any
 deny ipv6 any any log
exit
! Création de l'access list d'entrée
ipv6 access-list in-ipv6 
 ! Règles entrantes.
 permit tcp any host 2001:7A8:1111:0:DCAD:BEFF:FEEF:2514 eq 22
 permit tcp any host 2001:7A8:1111:0:DCAD:BEFF:FEEF:2514 eq www
 ! Trames de retour (pour traffic sortant)
 permit tcp any eq www 2001:1111:5A90::/48
 permit tcp any eq 443 2001:1111:5A90::/48
 permit tcp any eq 43 2001:1111:5A90::/48
 permit tcp any eq 22 2001:1111:5A90::/48
 permit tcp any eq 21 2001:1111:5A90::/48
 permit tcp any eq 20 2001:1111:5A90::/48
 ! Autoriser le ping partout 
 permit icmp any any
 ! Refuser tout le reste. 
 deny ipv6 any any log
exit
int Dialer 0
 ipv6 traffic-filter in-ipv6 in
 ipv6 traffic-filter out-ipv6 out
exit

à venir :

  • Squid et Ipv6
A très bientôt donc

3 Pages dans cet article
Le contenu de cette page a été vu 464 fois / Contenu mis a jour le Vendredi 12 Décembre 2008 à 19:45

Citation 24 sur 50

La modestie n'est pas précisément ma spécialité.

Salvador DALI

0 Index
0 Unix/Linux
0 OpenBsd
0 Internet
0 Le Webmaster

Les meilleures randonnées pedestres de bretagne.