Table des matières

Configuration Ipv6 avec Cisco 877 et Nerim

Cet exemple traite de la configuration d'ipv6 sur un routeur cisco série 800 (en l'occurence un 877 avec modem ADSL intégré), et le formidable fournisseur d'accès Nerim.

Pré-requis

Il est indispensable de mettre à jour l'IOS du routeur. de préférence pour un “Advanced Ip Services”. L'IOS de base n'étant pas pourvu de la pile Ipv6 !

Connaitre la plage ipv6 attribuée par le fournisseur d'accès : Nerim fournit des plage du type : 2001:7a8:xxxx::/48

Première étape : Se connecter au routeur.

Plusieurs solutions possibles : le cable console, ou SSH … libre à vous de choisir … pas de recommandation à avoir particulièrement, car si votre routeur est correctement configuré en ipv4, il n'y a aucun risque de se “couper la branche”.

Configuration des interfaces

Sur un cisco 877, deux interfaces sont primordiales : Dialer0 et Vlan1, nous allons donc configurer ces interfaces pour activer ipv6.

conf t    # pour passer en mode configuration
 ipv6 icmp error-interval 0
 ipv6 unicast-routing
 ipv6 cef
 int Dialer 0
   ipv6 enable
   ipv6 mtu 1280
 int Vlan 1
   ipv6 enable
   ipv6 mtu 1280

Adressage

L'adressage, tout comme ipv4 peut se faire de deux manières :

Statique

dans ce cas, il est possible d'utiliser des adresses facilement reconnaissables : par ex. 2001:7a8:1111::1, 2001:7a8:1111::2, etc.

Configurons le routeur avec une adresse ipv6 statique :

conf t
  int Vlan 1
  ipv6 address 2001:7A8:1111::1/48

Dynamique avec Router Advertisement

Semblable à un DHCP pour un réseau Ipv4, il permet d'autoconfigurer les interfaces réseau des serveurs et postes de travail. L'adressage se base alors sur l'adresse mac de la carte réseau connectée (suivant la norme eui-64).

conf t

  int Vlan 1
  ipv6 address 2001:7A8:1111::/64 eui-64
  ipv6 enable
  ipv6 mtu 1280
  ipv6 nd prefix 2001:7A8:1111::/64
  ipv6 nd ra interval 60
  ipv6 nd ra lifetime 180

Votre routeur est prêt ! et devrait diffuser automatiquement les adresses ipv6 aux machines connectées au réseau local.

Filtrage

Après tests , cet étape consomme énormément de CPU sur le cisco 877
Si vous constatez des baisses de débit sur votre traffic IPv6 , c'est le filtrage qui est en cause
Je vous conseille donc un autre périphérique (à base d'openBSD de préférence) pour effectuer cette opération.

Etape relativement importante, car depuis que vous êtes en ipv6, toutes les machines de votre réseau sont accessible publiquement sur internet.

Voici un exemple qui permet à toutes les machines du réseau local de sortir sur internet en ipv6 sur les protocoles ssh, whois, ftp , http, et https , et de filtrer l'accès en entrée à HTTP et SSH sur une machine particulière mais autoriser le ping de partout.

conf t

! Création de l'access list de sortie
ipv6 access-list out-ipv6
   permit tcp 2001:7A8:1111::/48 any eq 80
   permit tcp 2001:7A8:1111::/48 any eq 22
   permit tcp 2001:7A8:1111::/48 any eq 43
   permit tcp 2001:7A8:1111::/48 any eq 22
   permit tcp 2001:7A8:1111::/48 any eq 21
   permit tcp 2001:7A8:1111::/48 any eq 20
   permit icmp any any
   deny ipv6 any any log
exit


! Création de l'access list d'entrée
ipv6 access-list in-ipv6 
  ! Règles entrantes.
  permit tcp any host 2001:7A8:1111:0:DCAD:BEFF:FEEF:2514 eq 22
  permit tcp any host 2001:7A8:1111:0:DCAD:BEFF:FEEF:2514 eq www
 ! Trames de retour (pour traffic sortant)
  permit tcp any eq www 2001:1111:5A90::/48
  permit tcp any eq 443 2001:1111:5A90::/48
  permit tcp any eq 43 2001:1111:5A90::/48
  permit tcp any eq 22 2001:1111:5A90::/48
  permit tcp any eq 21 2001:1111:5A90::/48
  permit tcp any eq 20 2001:1111:5A90::/48
 ! Autoriser le ping partout 
  permit icmp any any
 ! Refuser tout le reste. 
  deny ipv6 any any log
exit
int Dialer 0
  ipv6 traffic-filter in-ipv6 in
  ipv6 traffic-filter out-ipv6 out
exit