Bien que les adresses IPv4 et IPv6 liste sont très similaires, il existe trois différences entre eux.
- Application d'une liste de contrôle d'accès IPv6
La première différence concerne la commande utilisée pour appliquer une liste de contrôle d'accès IPv6 à une interface. La commande ip access-group permet d'appliquer une liste de contrôle d'accès IPv4 à une interface IPv4. IPv6 utilise la commande ipv6 traffic-filter pour effectuer la même tâche sur les interfaces IPv6.
- Aucun masque générique
À la différence des listes de contrôle d'acccèsIPv4, les listes de contrôle d'accès IPv6 n'utilisent pas de masques génériques. Au lieu de cela, la longueur de préfixe est utilisée pour indiquer dans quelle mesure l'adresse IPv6 source ou de destination doit correspondre.
- Instructions supplémentaires par défaut
La dernière différence majeure concerne l'ajout de deux instructions d'autorisation implicites à la fin de chaque liste de contrôle d'accès IPv6. À la fin de chaque liste de contrôle d'accès IPv4 standard ou étendue, il existe une instruction implicite deny any ou deny any any. Il existe également une instruction deny ipv6 any any similaire à la fin de chaque liste de contrôle d'accès IPv6. En revanche, dans le cas d'IPv6, deux autres instructions implicites sont appliquées par défaut :
- permit icmp any any nd-na
- permit icmp any any nd-ns
Ces deux instructions permettent au routeur de prendre part à l'équivalent IPv6 du protocole ARP pour IPv4. Souvenez-vous qu'ARP est utilisé dans le cadre d'IPv4 pour traduire les adresses de couche 3 en adresses MAC de couche 2. Comme le montre la figure, IPv6 utilise des messages de découverte de voisin (ND pour Neighbor Discovery) ICMP pour effectuer la même opération. La découverte de voisin fait appel à des messages de sollicitation de voisin (NS pour Neighbor Solicitation) et d'annonce de voisin (NA pour Neighbor Advertisement).
Les messages ND sont encapsulés en paquets IPv6 et nécessitent des services de la couche réseau IPv6 tandis que le protocole ARP pour IPv4 n'utilise pas la couche 3. Étant donné qu'IPv6 utilise le service de couche 3 pour la découverte de voisin, les listes de contrôle d'accès IPv6 doivent autoriser implicitement l'envoi et la réception des paquets ND sur une interface. Plus précisément, les messages nd-na (découverte de voisin-annonce de voisin) et nd-ns (découverte de voisin-sollicitation de voisin) sont autorisés.