Cet exemple traite de la configuration d'ipv6 sur un routeur cisco série 800 (en l'occurence un 877 avec modem ADSL intégré), et le formidable fournisseur d'accès Nerim.
Il est indispensable de mettre à jour l'IOS du routeur. de préférence pour un “Advanced Ip Services”. L'IOS de base n'étant pas pourvu de la pile Ipv6 !
Connaitre la plage ipv6 attribuée par le fournisseur d'accès : Nerim fournit des plage du type : 2001:7a8:xxxx::/48
Plusieurs solutions possibles : le cable console, ou SSH … libre à vous de choisir … pas de recommandation à avoir particulièrement, car si votre routeur est correctement configuré en ipv4, il n'y a aucun risque de se “couper la branche”.
Sur un cisco 877, deux interfaces sont primordiales : Dialer0 et Vlan1, nous allons donc configurer ces interfaces pour activer ipv6.
conf t # pour passer en mode configuration ipv6 icmp error-interval 0 ipv6 unicast-routing ipv6 cef
int Dialer 0 ipv6 enable ipv6 mtu 1280
int Vlan 1 ipv6 enable ipv6 mtu 1280
L'adressage, tout comme ipv4 peut se faire de deux manières :
dans ce cas, il est possible d'utiliser des adresses facilement reconnaissables : par ex. 2001:7a8:1111::1, 2001:7a8:1111::2, etc.
Configurons le routeur avec une adresse ipv6 statique :
conf t int Vlan 1 ipv6 address 2001:7A8:1111::1/48
Semblable à un DHCP pour un réseau Ipv4, il permet d'autoconfigurer les interfaces réseau des serveurs et postes de travail. L'adressage se base alors sur l'adresse mac de la carte réseau connectée (suivant la norme eui-64).
conf t
int Vlan 1 ipv6 address 2001:7A8:1111::/64 eui-64 ipv6 enable ipv6 mtu 1280 ipv6 nd prefix 2001:7A8:1111::/64 ipv6 nd ra interval 60 ipv6 nd ra lifetime 180
Votre routeur est prêt ! et devrait diffuser automatiquement les adresses ipv6 aux machines connectées au réseau local.
Etape relativement importante, car depuis que vous êtes en ipv6, toutes les machines de votre réseau sont accessible publiquement sur internet.
Voici un exemple qui permet à toutes les machines du réseau local de sortir sur internet en ipv6 sur les protocoles ssh, whois, ftp , http, et https , et de filtrer l'accès en entrée à HTTP et SSH sur une machine particulière mais autoriser le ping de partout.
conf t ! Création de l'access list de sortie ipv6 access-list out-ipv6 permit tcp 2001:7A8:1111::/48 any eq 80 permit tcp 2001:7A8:1111::/48 any eq 22 permit tcp 2001:7A8:1111::/48 any eq 43 permit tcp 2001:7A8:1111::/48 any eq 22 permit tcp 2001:7A8:1111::/48 any eq 21 permit tcp 2001:7A8:1111::/48 any eq 20 permit icmp any any deny ipv6 any any log exit ! Création de l'access list d'entrée ipv6 access-list in-ipv6 ! Règles entrantes. permit tcp any host 2001:7A8:1111:0:DCAD:BEFF:FEEF:2514 eq 22 permit tcp any host 2001:7A8:1111:0:DCAD:BEFF:FEEF:2514 eq www
! Trames de retour (pour traffic sortant) permit tcp any eq www 2001:1111:5A90::/48 permit tcp any eq 443 2001:1111:5A90::/48 permit tcp any eq 43 2001:1111:5A90::/48 permit tcp any eq 22 2001:1111:5A90::/48 permit tcp any eq 21 2001:1111:5A90::/48 permit tcp any eq 20 2001:1111:5A90::/48
! Autoriser le ping partout permit icmp any any
! Refuser tout le reste. deny ipv6 any any log exit
int Dialer 0 ipv6 traffic-filter in-ipv6 in ipv6 traffic-filter out-ipv6 out exit