Dit document biedt een voorbeeldconfiguratie voor IPv6-toegangslijsten. In het voorbeeld dat in dit document wordt beschreven, worden routers R1 en R2 geconfigureerd met IPv6-adresseringsschema en verbonden via seriële link. Het routeringsprotocol dat op de twee routers is ingeschakeld, is IPv6 OSPF en de loopback-adressen die op beide routers (R1 en R2) zijn geconfigureerd, worden aan elkaar geadverteerd op gebied 0 met dit commando: ipv6 ospf proces-id gebied-id [instantie instantie-id] . In dit voorbeeld, moet het telnet verkeer ontkennen dat uit loopback 0 interface van router R2 voortkomt en loopback interface 4 van router R1 bereikt.
Dit configuratievoorbeeld gebruikt de ipv6 access-list access-list-name opdracht om een IPv6 access lijst (genaamd DENY_TELNET_Lo4) op router R1 te construeren. Een deny statement deny TCP host 400A:0:400C::1 host 1001:ABC:2011:7:1 eq telnet wordt gevolgd door een license statement license ipv6 any .
Om IPv6 ACL aan een interface toe te wijzen, gebruik dit bevel op de wijze van de interfaceconfiguratie: ipv6 traffic-filter access-list-name {in | uit}
Voordat u deze configuratie uitvoert, moet aan de volgende vereisten worden voldaan:
Kennis van IPv6-adresseringsschema
Kennis van het implementeren van OSPF voor IPv6
De informatie in dit document is gebaseerd op de Cisco 7200 Series router op Cisco IOS-softwarerelease 15.1 (voor routers R1 en R2).
Raadpleeg Conventies voor technische tips van Cisco voor informatie over documentconventies.
Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.
Opmerking: Gebruik de Command Lookup Tool (alleen voor geregistreerde klanten) voor meer informatie over de opdrachten die in dit document worden gebruikt.
Het netwerk in dit document is als volgt opgebouwd:
Dit document gebruikt de volgende configuraties:
Router R1
Router R2
Router R1 |
---|
R1#show running-config version 15.0 ! hostname R1 ip source-route ip cef ! no ip domain lookup ipv6 unicast-routing !--- Enables the forwarding of IPv6 packets. ipv6 cef interface Loopback1 no ip address ipv6 address 100A:0:100C::1/64 ipv6 enable ipv6 ospf 10 area 0 !--- Enables OSPFv3 on the interface and associates !--- the interface looback1 to area 0. ! ! interface Loopback2 no ip address ipv6 address 200A:0:200C::1/64 ipv6 ospf 10 area 0 ! ! interface Loopback3 no ip address ipv6 address 300A:0:300C::1/64 ipv6 enable ipv6 ospf 10 area 0 ! ! interface Loopback4 no ip address ipv6 address 400A:0:400C::1/64 ipv6 enable ipv6 ospf 10 area 0 ! interface Serial1/0 no ip address ipv6 address AB01:2011:7:100::/64 eui-64 ipv6 enable ipv6 ospf network point-to-point !--- Sets the OSPFv3 network type as point-to-point. ipv6 ospf 10 area 0 ipv6 traffic-filter DENY_TELNET_Lo4 in !--- Filters the traffic based on access list. serial restart-delay 0 clock rate 64000 ! ipv6 router ospf 10 router-id 1.1.1.1 log-adjacency-changes ! ipv6 access-list DENY_TELNET_Lo4 sequence 20 deny tcp host 400A:0:400C::1 host 1001:ABC:2011:7::1 eq telnet !--- Denies telnet access to Lo4 from Lo1 of router R2. permit ipv6 any any ! end |
Router R2 |
---|
R2#show running-config version 15.0 hostname R2 ip source-route ip cef ! no ip domain lookup ipv6 unicast-routing ipv6 cef ! interface Loopback0 no ip address ipv6 address 1001:ABC:2011:7::1/64 ipv6 enable ipv6 ospf 10 area 0 ! ! interface Serial1/0 no ip address ipv6 address AB01:2011:7:100::/64 eui-64 ipv6 enable ipv6 ospf network point-to-point ipv6 ospf 10 area 0 serial restart-delay 0 ! ipv6 router ospf 10 router-id 2.2.2.2 log-adjacency-changes ! end |
Om de configuratie te verifiëren, gebruik pingelen bevel.
Op router R2
Deze steekproefoutput toont aan dat router R2 de loopbackinterface van router R1 kan bereiken:
R2#ping ipv6 400A:0:400C::1 source lo0 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 400A:0:400C::1, timeout is 2 seconds: Packet sent with a source address of 1001:ABC:2011:7::1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 20/32/44 ms
Probeer telent loopback 4 interface van router R1 van loopback 0 interface van router R2.
R2#telnet 400A:0:400C::1 /source-interface lo0 Trying 400A:0:400C::1, 23 ... % Connection refused by remote host
De bovenstaande output bevestigt dat het telnet wordt ontkend door de externe host (dat wil zeggen, door router R1).
Gebruik de opdracht show ipv6 access-list DENY_TELNET_Lo4 om de toegangslijst te controleren die in router R1 is gemaakt, zoals in dit voorbeeld:
Op router R1
R1# show ipv6 access-list DENY_TELNET_Lo4 IPv6 access list DENY_TELNET_Lo4 deny tcp host 400A:0:400C::1 host 1001:ABC:2011:7::1 eq telnet sequence 20 permit ipv6 any any (82 matches) sequence 30
De Output Interpreter Tool (OIT) (alleen voor geregistreerde klanten) ondersteunt bepaalde opdrachten met show. Gebruik de OIT om een analyse te bekijken van de output van de opdracht show.
Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
13-Jul-2011 |
Eerste vrijgave |