IP : IP versão 6

Exemplo da configuração de lista de acesso do filtragem de tráfego do IPv6

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento fornece uma configuração de exemplo para Listas de acesso do IPv6. No exemplo descrito neste documento, o r1 do Roteadores e o R2 são configurados com método de endereçamento do IPv6 e conectados através do enlace serial. O protocolo de roteamento permitido nos dois Roteadores é o IPv6 OSPF, e os endereços de loopback configurados em ambo o Roteadores (r1 e R2) são anunciados entre si na área 0 com este comando: [instance instance-id] do ID da área da área do ID de processo OSPF do IPv6. Neste exemplo, exige-se para negar o tráfego do telnet que origina da relação do laço de retorno 0 do roteador R2 e alcança a interface de loopback 4 do r1 do roteador.

Este exemplo de configuração usa o comando do acesso-lista-nome da lista de acesso do IPv6 a fim construir uma lista de acessos do IPv6 (DENY_TELNET_Lo4 Nomeado) no r1 do roteador. Uma instrução de negação nega o host do host 400A:0:400C::1 tcp o telnet do eq que 1001:ABC:2011:7::1 é seguido por um IPv6 todo o algum da licença da indicação da licença.

A fim atribuir um IPv6 ACL a uma relação, use este comando no modo de configuração da interface: acesso-lista-nome do filtro de tráfego do IPv6 {em | para fora}

Pré-requisitos

Requisitos

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

Componentes Utilizados

A informação neste documento é baseada no Cisco 7200 Series Router no Cisco IOS Software Release 15.1 (para o r1 do Roteadores e as configurações R2).

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter informações sobre convenções de documentos.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a ferramenta Command Lookup Tool (apenas para clientes registrados) para obter mais informações sobre os comandos usados neste documento.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

http://www.cisco.com/c/dam/en/us/support/docs/ip/ip-version-6/113126-ipv6-acl-01.gif

Configurações

Este documento utiliza as seguintes configurações:

  • R1 do roteador

  • Roteador R2

R1 do roteador
R1#show running-config

version 15.0
!
hostname R1
ip source-route
ip cef
!
no ip domain lookup
ipv6 unicast-routing

!--- Enables the forwarding of IPv6 packets.

ipv6 cef

interface Loopback1
 no ip address
 ipv6 address 100A:0:100C::1/64
 ipv6 enable
 ipv6 ospf 10 area 0

!--- Enables OSPFv3 on the interface and associates


!--- the interface looback1 to area 0.

 !
!
interface Loopback2
 no ip address
 ipv6 address 200A:0:200C::1/64
 ipv6 ospf 10 area 0
 !
!
interface Loopback3
 no ip address
 ipv6 address 300A:0:300C::1/64
 ipv6 enable
 ipv6 ospf 10 area 0
 !
!
interface Loopback4
 no ip address
 ipv6 address 400A:0:400C::1/64
 ipv6 enable
 ipv6 ospf 10 area 0
 !
interface Serial1/0
 no ip address
 ipv6 address AB01:2011:7:100::/64 eui-64
 ipv6 enable
 ipv6 ospf network point-to-point

!--- Sets the OSPFv3 network type as point-to-point.

 ipv6 ospf 10 area 0
 ipv6 traffic-filter DENY_TELNET_Lo4 in

!--- Filters the traffic based on access list.

 serial restart-delay 0
 clock rate 64000
 !
ipv6 router ospf 10
 router-id 1.1.1.1
 log-adjacency-changes
!
ipv6 access-list DENY_TELNET_Lo4
 sequence 20 deny tcp host 400A:0:400C::1 host 1001:ABC:2011:7::1 eq telnet

!--- Denies telnet access to Lo4 from Lo1 of router R2.

 permit ipv6 any any
!
end

Roteador R2
R2#show running-config

version 15.0
hostname R2
ip source-route
ip cef
!
no ip domain lookup
ipv6 unicast-routing
ipv6 cef
!
interface Loopback0
 no ip address
 ipv6 address 1001:ABC:2011:7::1/64
 ipv6 enable
 ipv6 ospf 10 area 0
 !
!
interface Serial1/0
 no ip address
 ipv6 address AB01:2011:7:100::/64 eui-64
 ipv6 enable
 ipv6 ospf network point-to-point
 ipv6 ospf 10 area 0
 serial restart-delay 0
 !
ipv6 router ospf 10
 router-id 2.2.2.2
 log-adjacency-changes
!
end

Verificar

A fim verificar a configuração, use o comando ping.

No roteador R2

Este exemplo de saída mostra que o roteador R2 pode alcançar a interface de loopback do r1 do roteador:

R2#ping ipv6 400A:0:400C::1 source lo0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 400A:0:400C::1, timeout is 2 seconds:
Packet sent with a source address of 1001:ABC:2011:7::1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 20/32/44 ms

Tente a relação telent do laço de retorno 4 do r1 do roteador da relação do laço de retorno 0 do roteador R2.

R2#telnet 400A:0:400C::1 /source-interface lo0
Trying 400A:0:400C::1, 23 ...
% Connection refused by remote host

As saídas acima confirmam que o telnet está negado pelo host remoto (isto é, pelo r1 do roteador).

Use o comando da lista de acesso DENY_TELNET_Lo4 do IPv6 da mostra a fim verificar a lista de acessos criada no r1 do roteador segundo as indicações deste exemplo:

No r1 do roteador

R1#
show ipv6 access-list DENY_TELNET_Lo4

IPv6 access list DENY_TELNET_Lo4
    deny tcp host 400A:0:400C::1 host 1001:ABC:2011:7::1 eq telnet sequence 20    
    permit ipv6 any any (82 matches) sequence 30

A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Troubleshooting

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 113126