Протокол IP : IPv6

Пример конфигурации списка доступа фильтрации трафика IPv6

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ предоставляет пример конфигурации для списков доступа IPv6. В примере, описанном в этом документе, маршрутизаторы R1 и R2 настроены со схемой адресации IPv6 и связаны через последовательное соединение. Протокол маршрутизации, включенный на этих двух маршрутизаторах, является OSPF IPv6, и адреса обратной связи, настроенные и на маршрутизаторах (R1 и на R2), объявлены друг другу в области 0 с этой командой: area-id области идентификатора процесса OSPF ipv6 [идентификатор экземпляра экземпляра] . В данном примере это требуется, чтобы запрещать трафик Telnet, который инициирует из loopback 0 интерфейсов маршрутизатора R2 и достигает интерфейса обратной связи 4 из маршрутизатора R1.

Этот пример конфигурации использует команду access-list-name ipv6 access-list для построения списка доступа IPv6 (названный DENY_TELNET_Lo4) на маршрутизаторе R1. Инструкция deny deny tcp host 400A:0:400C::1 host 1001:ABC:2011:7::1 eq telnet придерживается оператором permit permit ipv6 any any .

Для присвоения ACL IPv6 на интерфейс используйте эту команду в режиме конфигурации интерфейса: list-name доступа ipv6 traffic-filter {в |}

Предварительные условия

Требования

Убедитесь, что вы обеспечили выполнение следующих требований, прежде чем попробовать эту конфигурацию:

Используемые компоненты

Сведения в этом документе основываются на маршрутизаторе Cisco серии 7200 на Cisco IOS Software Release 15.1 (для конфигураций маршрутизаторов R1 и R2).

Условные обозначения

Сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Чтобы получить подробные сведения о командах в данном документе, используйте Средство поиска команд (только для зарегистрированных клиентов).

Схема сети

В настоящем документе используется следующая схема сети:

http://www.cisco.com/c/dam/en/us/support/docs/ip/ip-version-6/113126-ipv6-acl-01.gif

Конфигурации

Эти конфигурации используются в данном документе:

  • Маршрутизатор М1

  • Маршрутизатор М2

Маршрутизатор М1
R1#show running-config

version 15.0
!
hostname R1
ip source-route
ip cef
!
no ip domain lookup
ipv6 unicast-routing

!--- Enables the forwarding of IPv6 packets.

ipv6 cef

interface Loopback1
 no ip address
 ipv6 address 100A:0:100C::1/64
 ipv6 enable
 ipv6 ospf 10 area 0

!--- Enables OSPFv3 on the interface and associates


!--- the interface looback1 to area 0.

 !
!
interface Loopback2
 no ip address
 ipv6 address 200A:0:200C::1/64
 ipv6 ospf 10 area 0
 !
!
interface Loopback3
 no ip address
 ipv6 address 300A:0:300C::1/64
 ipv6 enable
 ipv6 ospf 10 area 0
 !
!
interface Loopback4
 no ip address
 ipv6 address 400A:0:400C::1/64
 ipv6 enable
 ipv6 ospf 10 area 0
 !
interface Serial1/0
 no ip address
 ipv6 address AB01:2011:7:100::/64 eui-64
 ipv6 enable
 ipv6 ospf network point-to-point

!--- Sets the OSPFv3 network type as point-to-point.

 ipv6 ospf 10 area 0
 ipv6 traffic-filter DENY_TELNET_Lo4 in

!--- Filters the traffic based on access list.

 serial restart-delay 0
 clock rate 64000
 !
ipv6 router ospf 10
 router-id 1.1.1.1
 log-adjacency-changes
!
ipv6 access-list DENY_TELNET_Lo4
 sequence 20 deny tcp host 400A:0:400C::1 host 1001:ABC:2011:7::1 eq telnet

!--- Denies telnet access to Lo4 from Lo1 of router R2.

 permit ipv6 any any
!
end

Маршрутизатор М2
R2#show running-config

version 15.0
hostname R2
ip source-route
ip cef
!
no ip domain lookup
ipv6 unicast-routing
ipv6 cef
!
interface Loopback0
 no ip address
 ipv6 address 1001:ABC:2011:7::1/64
 ipv6 enable
 ipv6 ospf 10 area 0
 !
!
interface Serial1/0
 no ip address
 ipv6 address AB01:2011:7:100::/64 eui-64
 ipv6 enable
 ipv6 ospf network point-to-point
 ipv6 ospf 10 area 0
 serial restart-delay 0
 !
ipv6 router ospf 10
 router-id 2.2.2.2
 log-adjacency-changes
!
end

Проверка

Для проверки конфигурации используйте команду ping.

На маршрутизаторе R2

Этот пример выходных данных показывает, что маршрутизатор R2 может достигнуть интерфейса обратной связи маршрутизатора R1:

R2#ping ipv6 400A:0:400C::1 source lo0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 400A:0:400C::1, timeout is 2 seconds:
Packet sent with a source address of 1001:ABC:2011:7::1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 20/32/44 ms

Попробуйте интерфейс telent loopback 4 маршрутизатора R1 от loopback 0 интерфейсов маршрутизатора R2.

R2#telnet 400A:0:400C::1 /source-interface lo0
Trying 400A:0:400C::1, 23 ...
% Connection refused by remote host

Вышеупомянутый выход подтверждает, что telnet запрещена удаленным хостом (т.е. маршрутизатором R1).

Используйте команду DENY_TELNET_Lo4 show ipv6 access-list для проверки списка доступа, созданного в маршрутизаторе R1 как показано в данном примере:

На маршрутизаторе R1

R1#
show ipv6 access-list DENY_TELNET_Lo4

IPv6 access list DENY_TELNET_Lo4
    deny tcp host 400A:0:400C::1 host 1001:ABC:2011:7::1 eq telnet sequence 20    
    permit ipv6 any any (82 matches) sequence 30

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении проблем.


Дополнительные сведения


Document ID: 113126