IPv6 트래픽 필터링 액세스 목록 컨피그레이션 예

소개

이 문서에서는 IPv6 액세스 목록에 대한 샘플 컨피그레이션을 제공합니다. 이 문서에 설명된 예에서 라우터 R1 및 R2는 IPv6 주소 지정 방식으로 구성되고 직렬 링크를 통해 연결됩니다. 두 라우터에서 활성화된 라우팅 프로토콜은 IPv6 OSPF이며 두 라우터(R1 및 R2)에 구성된 루프백 주소는 영역 0에서 다음 명령을 사용하여 서로 광고됩니다. ipv6 ospf process-id area-id [instance instance-id](ipv6 ospf process-id area-id). 이 예에서는 라우터 R2의 루프백 0 인터페이스에서 시작하여 라우터 R1의 루프백 인터페이스 4에 도달하는 텔넷 트래픽을 거부해야 합니다.

이 컨피그레이션 예에서는 ipv6 access-list access-list-name 명령을 사용하여 라우터 R1에 IPv6 액세스 목록(DENY_TELNET_Lo4)을 구성합니다. deny 문 deny tcp host 400A:0:400C::1 host 1001:ABC:2011:7::1 eq telnet 뒤에 permit 문 permit ipv6 any가 옵니다.

인터페이스에 IPv6 ACL을 할당하려면 인터페이스 컨피그레이션 모드에서 다음 명령을 사용합니다. ipv6 traffic-filter access-list-name {in | 발신}

사전 요구 사항

요구 사항

이 설정을 시도하려면 먼저 이러한 요구 사항을 충족해야 합니다:

• IPv6 주소 지정 체계 지식

• IPv6용 OSPF 구현 지식

사용되는 구성 요소

이 문서의 정보는 Cisco IOS Software Release 15.1의 Cisco 7200 Series 라우터(라우터 R1 및 R2 컨피그레이션용)를 기반으로 합니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참조하십시오.

구성

이 섹션에는 이 문서에서 설명하는 기능을 구성하기 위한 정보가 표시됩니다.

참고: 이 문서에 사용된 명령에 대한 자세한 내용은 Command Lookup Tool(등록된 고객만 해당)을 사용하십시오.

네트워크 다이어그램

이 문서에서는 이 네트워크 설정을 사용합니다.

설정

이 문서에서는 다음 설정을 사용합니다.

• 라우터 R1

• 라우터 R2

R1#show running-config

version 15.0
!
hostname R1
ip source-route
ip cef
!
no ip domain lookup
ipv6 unicast-routing

!--- Enables the forwarding of IPv6 packets.

ipv6 cef

interface Loopback1
 no ip address
 ipv6 address 100A:0:100C::1/64
 ipv6 enable
 ipv6 ospf 10 area 0

!--- Enables OSPFv3 on the interface and associates


!--- the interface looback1 to area 0.

 !
!
interface Loopback2
 no ip address
 ipv6 address 200A:0:200C::1/64
 ipv6 ospf 10 area 0
 !
!
interface Loopback3
 no ip address
 ipv6 address 300A:0:300C::1/64
 ipv6 enable
 ipv6 ospf 10 area 0
 !
!
interface Loopback4
 no ip address
 ipv6 address 400A:0:400C::1/64
 ipv6 enable
 ipv6 ospf 10 area 0
 !
interface Serial1/0
 no ip address
 ipv6 address AB01:2011:7:100::/64 eui-64
 ipv6 enable
 ipv6 ospf network point-to-point

!--- Sets the OSPFv3 network type as point-to-point.

 ipv6 ospf 10 area 0
 ipv6 traffic-filter DENY_TELNET_Lo4 in

!--- Filters the traffic based on access list.

 serial restart-delay 0
 clock rate 64000
 !
ipv6 router ospf 10
 router-id 1.1.1.1
 log-adjacency-changes
!
ipv6 access-list DENY_TELNET_Lo4
 sequence 20 deny tcp host 400A:0:400C::1 host 1001:ABC:2011:7::1 eq telnet

!--- Denies telnet access to Lo4 from Lo1 of router R2.

 permit ipv6 any any
!
end

R2#show running-config

version 15.0
hostname R2
ip source-route
ip cef
!
no ip domain lookup
ipv6 unicast-routing
ipv6 cef
!
interface Loopback0
 no ip address
 ipv6 address 1001:ABC:2011:7::1/64
 ipv6 enable
 ipv6 ospf 10 area 0
 !
!
interface Serial1/0
 no ip address
 ipv6 address AB01:2011:7:100::/64 eui-64
 ipv6 enable
 ipv6 ospf network point-to-point
 ipv6 ospf 10 area 0
 serial restart-delay 0
 !
ipv6 router ospf 10
 router-id 2.2.2.2
 log-adjacency-changes
!
end

다음을 확인합니다.

컨피그레이션을 확인하려면 ping 명령을 사용합니다.

라우터 R2

이 샘플 출력은 라우터 R2가 라우터 R1의 루프백 인터페이스에 도달할 수 있음을 보여줍니다.

R2#ping ipv6 400A:0:400C::1 source lo0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 400A:0:400C::1, timeout is 2 seconds:
Packet sent with a source address of 1001:ABC:2011:7::1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 20/32/44 ms

라우터 R2의 루프백 0 인터페이스에서 라우터 R1의 루프백 4 인터페이스를 테스트합니다.

R2#telnet 400A:0:400C::1 /source-interface lo0
Trying 400A:0:400C::1, 23 ...
% Connection refused by remote host

위 출력은 텔넷이 원격 호스트(즉, 라우터 R1)에 의해 거부됨을 확인합니다.

다음 예와 같이 라우터 R1에서 생성된 액세스 목록을 확인하려면 show ipv6 access-list DENY_TELNET_Lo4 명령을 사용합니다.

라우터 R1

R1#
show ipv6 access-list DENY_TELNET_Lo4

IPv6 access list DENY_TELNET_Lo4
    deny tcp host 400A:0:400C::1 host 1001:ABC:2011:7::1 eq telnet sequence 20    
    permit ipv6 any any (82 matches) sequence 30

OIT(Output Interpreter Tool)(등록된 고객만 해당)는 특정 show 명령을 지원합니다. OIT를 사용하여 show 명령 출력 분석을 볼 수 있습니다.

문제 해결

현재 이 설정에 사용할 수 있는 특정 문제 해결 정보가 없습니다.

관련 정보

• IPv6 컨피그레이션 가이드, Cisco IOS 릴리스 15.1 M&T
• IPv6 기술 지원
• 기술 지원 및 문서 − Cisco Systems