IP : IP 版本 6 (IPv6)

过滤访问控制列表配置示例的IPv6流量

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈


目录


简介

本文为IPv6访问列表提供一配置示例。在本文描述的示例中,路由器R1和R2配置与IPv6编址方案并且通过串行链路连接。在两路由器启用的路由协议是IPv6 OSPF,并且在两路由器配置的环回地址(R1和R2)在area 0彼此通告用此命令:IPv6 OSPF进程ID区域area-id [instance instance-id]。在本例中,它要求否决于路由器起源R2 loopback0接口并且到达回环接口路由器R1 4的Telnet流量。

此配置示例使用IPv6 access-list access-list-name命令为了修建一IPv6访问列表(已命名DENY_TELNET_Lo4)在路由器R1。拒绝语句拒绝TCP主机400A:0:400C::1主机1001:ABC:2011:7::1 eq telnet由permit语句permit IPv6所有中的任一跟随。

为了分配IPv6 ACL到接口,请使用此in命令接口配置模式:access-list-name IPv6数据流过滤器{在|}

先决条件

要求

尝试进行此配置之前,请确保满足以下要求:

使用的组件

本文档中的信息根据在Cisco IOS软件版本15.1的Cisco 7200系列路由器(路由器R1和R2配置)。

规则

有关文档规则的信息,请参阅 Cisco 技术提示规则

配置

本部分提供有关如何配置本文档所述功能的信息。

注意: 有关本文档所用命令的详细信息,请使用命令查找工具仅限注册用户)。

网络图

本文档使用以下网络设置:

http://www.cisco.com/c/dam/en/us/support/docs/ip/ip-version-6/113126-ipv6-acl-01.gif

配置

本文档使用以下配置:

  • 路由器 R1

  • 路由器 R2

路由器 R1
R1#show running-config

version 15.0
!
hostname R1
ip source-route
ip cef
!
no ip domain lookup
ipv6 unicast-routing

!--- Enables the forwarding of IPv6 packets.

ipv6 cef

interface Loopback1
 no ip address
 ipv6 address 100A:0:100C::1/64
 ipv6 enable
 ipv6 ospf 10 area 0

!--- Enables OSPFv3 on the interface and associates


!--- the interface looback1 to area 0.

 !
!
interface Loopback2
 no ip address
 ipv6 address 200A:0:200C::1/64
 ipv6 ospf 10 area 0
 !
!
interface Loopback3
 no ip address
 ipv6 address 300A:0:300C::1/64
 ipv6 enable
 ipv6 ospf 10 area 0
 !
!
interface Loopback4
 no ip address
 ipv6 address 400A:0:400C::1/64
 ipv6 enable
 ipv6 ospf 10 area 0
 !
interface Serial1/0
 no ip address
 ipv6 address AB01:2011:7:100::/64 eui-64
 ipv6 enable
 ipv6 ospf network point-to-point

!--- Sets the OSPFv3 network type as point-to-point.

 ipv6 ospf 10 area 0
 ipv6 traffic-filter DENY_TELNET_Lo4 in

!--- Filters the traffic based on access list.

 serial restart-delay 0
 clock rate 64000
 !
ipv6 router ospf 10
 router-id 1.1.1.1
 log-adjacency-changes
!
ipv6 access-list DENY_TELNET_Lo4
 sequence 20 deny tcp host 400A:0:400C::1 host 1001:ABC:2011:7::1 eq telnet

!--- Denies telnet access to Lo4 from Lo1 of router R2.

 permit ipv6 any any
!
end

路由器 R2
R2#show running-config

version 15.0
hostname R2
ip source-route
ip cef
!
no ip domain lookup
ipv6 unicast-routing
ipv6 cef
!
interface Loopback0
 no ip address
 ipv6 address 1001:ABC:2011:7::1/64
 ipv6 enable
 ipv6 ospf 10 area 0
 !
!
interface Serial1/0
 no ip address
 ipv6 address AB01:2011:7:100::/64 eui-64
 ipv6 enable
 ipv6 ospf network point-to-point
 ipv6 ospf 10 area 0
 serial restart-delay 0
 !
ipv6 router ospf 10
 router-id 2.2.2.2
 log-adjacency-changes
!
end

验证

为了验证配置,请使用ping命令

在路由器 R2 上

此输出示例:显示路由器R2能到达路由器R1回环接口:

R2#ping ipv6 400A:0:400C::1 source lo0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 400A:0:400C::1, timeout is 2 seconds:
Packet sent with a source address of 1001:ABC:2011:7::1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 20/32/44 ms

尝试路由器R1 telent环回4接口从路由器R2 loopback0接口的。

R2#telnet 400A:0:400C::1 /source-interface lo0
Trying 400A:0:400C::1, 23 ...
% Connection refused by remote host

上述ouput确认telnet由远程主机拒绝(即由路由器R1)。

请使用show ipv6 access-list DENY_TELNET_Lo4命令为了检查在路由器创建的访问列表R1如此示例所显示:

在路由器R1上

R1#
show ipv6 access-list DENY_TELNET_Lo4

IPv6 access list DENY_TELNET_Lo4
    deny tcp host 400A:0:400C::1 host 1001:ABC:2011:7::1 eq telnet sequence 20    
    permit ipv6 any any (82 matches) sequence 30

命令输出解释程序仅限注册用户)(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。

故障排除

目前没有针对此配置的故障排除信息。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 113126