IP : IP version 6

Exemple de configuration de liste d'accès de filtrage de trafic d'IPv6

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document fournit une configuration d'échantillon pour des Listes d'accès d'IPv6. Dans l'exemple décrit dans ce document, les Routeurs R1 et les R2 sont configurés avec le système d'adressage d'IPv6 et connectés par la liaison série. Le protocole de routage activé sur les deux Routeurs est OSPF d'IPv6, et les adresses de bouclage configurées sur les les deux les Routeurs (R1 et R2) sont annoncées entre eux dans la zone 0 avec cette commande : zone-id de zone de processus-id OSPF d'IPv6 [exemple-id d'exemple]. Dans cet exemple, on l'exige pour refuser le trafic de telnet qui provient du bouclage 0 interfaces de routeur R2 et atteint l'interface 4 de bouclage du routeur R1.

Cet exemple de configuration emploie la commande d'Access-liste-nom d'ipv6 access-list afin de construire une liste d'accès d'IPv6 (DENY_TELNET_Lo4 Désigné) sur le routeur R1. Une instruction de refus refusent l'hôte de l'hôte 400A:0:400C::1 de TCP que le telnet d'eq 1001:ABC:2011:7::1 en est suivi par un IPv6 tout d'autorisation de déclaration d'autorisation.

Afin d'assigner un ACL d'IPv6 à une interface, utilisez cette commande dans le mode de configuration d'interface : Access-liste-nom d'ipv6 traffic-filter {dans | }

Conditions préalables

Conditions requises

Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :

Composants utilisés

Les informations dans ce document sont basées sur le routeur de gamme Cisco 7200 sur la version du logiciel Cisco IOS 15.1 (pour configurations R1 et R2 de Routeurs).

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Configurez

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque: Utilisez l'outil Command Lookup Tool (clients enregistrés seulement) pour trouver plus d'informations sur les commandes utilisées dans ce document.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

http://www.cisco.com/c/dam/en/us/support/docs/ip/ip-version-6/113126-ipv6-acl-01.gif

Configurations

Ce document utilise les configurations suivantes :

  • Routeur R1

  • Routeur R2

Routeur R1
R1#show running-config

version 15.0
!
hostname R1
ip source-route
ip cef
!
no ip domain lookup
ipv6 unicast-routing

!--- Enables the forwarding of IPv6 packets.

ipv6 cef

interface Loopback1
 no ip address
 ipv6 address 100A:0:100C::1/64
 ipv6 enable
 ipv6 ospf 10 area 0

!--- Enables OSPFv3 on the interface and associates


!--- the interface looback1 to area 0.

 !
!
interface Loopback2
 no ip address
 ipv6 address 200A:0:200C::1/64
 ipv6 ospf 10 area 0
 !
!
interface Loopback3
 no ip address
 ipv6 address 300A:0:300C::1/64
 ipv6 enable
 ipv6 ospf 10 area 0
 !
!
interface Loopback4
 no ip address
 ipv6 address 400A:0:400C::1/64
 ipv6 enable
 ipv6 ospf 10 area 0
 !
interface Serial1/0
 no ip address
 ipv6 address AB01:2011:7:100::/64 eui-64
 ipv6 enable
 ipv6 ospf network point-to-point

!--- Sets the OSPFv3 network type as point-to-point.

 ipv6 ospf 10 area 0
 ipv6 traffic-filter DENY_TELNET_Lo4 in

!--- Filters the traffic based on access list.

 serial restart-delay 0
 clock rate 64000
 !
ipv6 router ospf 10
 router-id 1.1.1.1
 log-adjacency-changes
!
ipv6 access-list DENY_TELNET_Lo4
 sequence 20 deny tcp host 400A:0:400C::1 host 1001:ABC:2011:7::1 eq telnet

!--- Denies telnet access to Lo4 from Lo1 of router R2.

 permit ipv6 any any
!
end

Routeur R2
R2#show running-config

version 15.0
hostname R2
ip source-route
ip cef
!
no ip domain lookup
ipv6 unicast-routing
ipv6 cef
!
interface Loopback0
 no ip address
 ipv6 address 1001:ABC:2011:7::1/64
 ipv6 enable
 ipv6 ospf 10 area 0
 !
!
interface Serial1/0
 no ip address
 ipv6 address AB01:2011:7:100::/64 eui-64
 ipv6 enable
 ipv6 ospf network point-to-point
 ipv6 ospf 10 area 0
 serial restart-delay 0
 !
ipv6 router ospf 10
 router-id 2.2.2.2
 log-adjacency-changes
!
end

Vérifiez

Afin de vérifier la configuration, utilisez la commande ping.

Sur le routeur R2

Cette sortie témoin prouve que le routeur R2 peut atteindre l'interface de bouclage du routeur R1 :

R2#ping ipv6 400A:0:400C::1 source lo0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 400A:0:400C::1, timeout is 2 seconds:
Packet sent with a source address of 1001:ABC:2011:7::1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 20/32/44 ms

Essayez l'interface telent du bouclage 4 du routeur R1 du bouclage 0 interfaces de routeur R2.

R2#telnet 400A:0:400C::1 /source-interface lo0
Trying 400A:0:400C::1, 23 ...
% Connection refused by remote host

La sortie ci-dessus confirme que le telnet est refusé par le serveur distant (c'est-à-dire, par routeur R1).

Employez la commande du show ipv6 access-list DENY_TELNET_Lo4 afin de vérifier la liste d'accès créée dans le routeur R1 suivant les indications de cet exemple :

Sur le routeur R1

R1#
show ipv6 access-list DENY_TELNET_Lo4

IPv6 access list DENY_TELNET_Lo4
    deny tcp host 400A:0:400C::1 host 1001:ABC:2011:7::1 eq telnet sequence 20    
    permit ipv6 any any (82 matches) sequence 30

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

Dépannez

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 113126