IP : IP versión 6

Ejemplo de la configuración de la lista de acceso del filtrado de tráfico del IPv6

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento facilita una configuración de muestra para las listas de acceso de IPv6. En el ejemplo descrito en este documento, el r1 y el r2 del Routers se configuran con el esquema de direccionamiento del IPv6 y están conectados a través del link serial. El Routing Protocol habilitado en el dos Routers es el IPv6 OSPF, y los Loopback Address configurados en ambo el Routers (r1 y r2) se hacen publicidad el uno al otro en el área 0 con este comando: [instance instance-id] del ID de área del área del ID del proceso OSPF del IPv6. En este ejemplo, se requiere para negar el tráfico telnet que origina de la interfaz del loopback0 del r2 del router y alcanza el Loopback Interface 4 del r1 del router.

Este ejemplo de configuración utiliza el comando del acceso-lista-nombre de la lista de acceso del IPv6 para construir una lista de acceso del IPv6 (DENY_TELNET_Lo4 Nombrado) en el r1 del router. Un enunciado de negación niega el host del host 400A:0:400C::1 tcp que el telnet del eq 1001:ABC:2011:7::1 es seguido por un IPv6 cualquier ninguno del permiso de la declaración del permiso.

Para asignar un IPv6 ACL a una interfaz, utilice este comando en el modo de configuración de la interfaz: acceso-lista-nombre del filtro de tráfico del IPv6 {en | hacia fuera}

prerrequisitos

Requisitos

Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

Componentes Utilizados

La información en este documento se basa en el Cisco 7200 Series Router en la versión de Cisco IOS Software 15.1 (para las configuraciones del r1 y del r2 del Routers).

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener información sobre las convenciones sobre documentos.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Use la herramienta Command Lookup Tool (clientes registrados solamente) para encontrar más información sobre los comandos usados en este documento.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

http://www.cisco.com/c/dam/en/us/support/docs/ip/ip-version-6/113126-ipv6-acl-01.gif

Configuraciones

En este documento, se utilizan estas configuraciones:

  • R1 del router

  • R2 del router

R1 del router
R1#show running-config

version 15.0
!
hostname R1
ip source-route
ip cef
!
no ip domain lookup
ipv6 unicast-routing

!--- Enables the forwarding of IPv6 packets.

ipv6 cef

interface Loopback1
 no ip address
 ipv6 address 100A:0:100C::1/64
 ipv6 enable
 ipv6 ospf 10 area 0

!--- Enables OSPFv3 on the interface and associates


!--- the interface looback1 to area 0.

 !
!
interface Loopback2
 no ip address
 ipv6 address 200A:0:200C::1/64
 ipv6 ospf 10 area 0
 !
!
interface Loopback3
 no ip address
 ipv6 address 300A:0:300C::1/64
 ipv6 enable
 ipv6 ospf 10 area 0
 !
!
interface Loopback4
 no ip address
 ipv6 address 400A:0:400C::1/64
 ipv6 enable
 ipv6 ospf 10 area 0
 !
interface Serial1/0
 no ip address
 ipv6 address AB01:2011:7:100::/64 eui-64
 ipv6 enable
 ipv6 ospf network point-to-point

!--- Sets the OSPFv3 network type as point-to-point.

 ipv6 ospf 10 area 0
 ipv6 traffic-filter DENY_TELNET_Lo4 in

!--- Filters the traffic based on access list.

 serial restart-delay 0
 clock rate 64000
 !
ipv6 router ospf 10
 router-id 1.1.1.1
 log-adjacency-changes
!
ipv6 access-list DENY_TELNET_Lo4
 sequence 20 deny tcp host 400A:0:400C::1 host 1001:ABC:2011:7::1 eq telnet

!--- Denies telnet access to Lo4 from Lo1 of router R2.

 permit ipv6 any any
!
end

R2 del router
R2#show running-config

version 15.0
hostname R2
ip source-route
ip cef
!
no ip domain lookup
ipv6 unicast-routing
ipv6 cef
!
interface Loopback0
 no ip address
 ipv6 address 1001:ABC:2011:7::1/64
 ipv6 enable
 ipv6 ospf 10 area 0
 !
!
interface Serial1/0
 no ip address
 ipv6 address AB01:2011:7:100::/64 eui-64
 ipv6 enable
 ipv6 ospf network point-to-point
 ipv6 ospf 10 area 0
 serial restart-delay 0
 !
ipv6 router ospf 10
 router-id 2.2.2.2
 log-adjacency-changes
!
end

Verificación

Para verificar la configuración, utilice el comando ping.

En el r2 del router

Esta salida de muestra muestra que el r2 del router puede alcanzar el Loopback Interface del r1 del router:

R2#ping ipv6 400A:0:400C::1 source lo0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 400A:0:400C::1, timeout is 2 seconds:
Packet sent with a source address of 1001:ABC:2011:7::1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 20/32/44 ms

Intente la interfaz telent del loopback 4 del r1 del router de la interfaz del loopback0 del r2 del router.

R2#telnet 400A:0:400C::1 /source-interface lo0
Trying 400A:0:400C::1, 23 ...
% Connection refused by remote host

El ouput antedicho confirma que el telnet es negado por el host remoto (es decir, por el r1 del router).

Utilice el comando de la lista de acceso DENY_TELNET_Lo4 del IPv6 de la demostración para marcar la lista de acceso creada en el r1 del router tal y como se muestra en de este ejemplo:

En el r1 del router

R1#
show ipv6 access-list DENY_TELNET_Lo4

IPv6 access list DENY_TELNET_Lo4
    deny tcp host 400A:0:400C::1 host 1001:ABC:2011:7::1 eq telnet sequence 20    
    permit ipv6 any any (82 matches) sequence 30

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

Troubleshooting

Actualmente, no hay información específica de troubleshooting disponible para esta configuración.


Información Relacionada


Document ID: 113126