Configuratie-voorbeeld van IPv6-toegangslijst met verkeersfiltering

Downloadopties

PDF (274.8 KB)
Met Adobe Reader op diverse apparaten bekijken

Bijgewerkt:19 november 2014

Document-id:113126

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inhoud

Inleiding

Voorwaarden

Vereisten

Gebruikte componenten

Conventies

Configureren

Netwerkdiagram

Configuraties

Verifiëren

Problemen oplossen

Gerelateerde informatie

Inleiding

Dit document biedt een voorbeeldconfiguratie voor IPv6-toegangslijsten. In het voorbeeld dat in dit document wordt beschreven, worden routers R1 en R2 geconfigureerd met IPv6-adresseringsschema en verbonden via seriële link. Het routeringsprotocol dat op de twee routers is ingeschakeld, is IPv6 OSPF en de loopback-adressen die op beide routers (R1 en R2) zijn geconfigureerd, worden aan elkaar geadverteerd op gebied 0 met dit commando: ipv6 ospf proces-id gebied-id [instantie instantie-id] . In dit voorbeeld, moet het telnet verkeer ontkennen dat uit loopback 0 interface van router R2 voortkomt en loopback interface 4 van router R1 bereikt.

Dit configuratievoorbeeld gebruikt de ipv6 access-list access-list-name opdracht om een IPv6 access lijst (genaamd DENY_TELNET_Lo4) op router R1 te construeren. Een deny statement deny TCP host 400A:0:400C::1 host 1001:ABC:2011:7:1 eq telnet wordt gevolgd door een license statement license ipv6 any .

Om IPv6 ACL aan een interface toe te wijzen, gebruik dit bevel op de wijze van de interfaceconfiguratie: ipv6 traffic-filter access-list-name {in | uit}

Voorwaarden

Vereisten

Voordat u deze configuratie uitvoert, moet aan de volgende vereisten worden voldaan:

Kennis van IPv6-adresseringsschema
Kennis van het implementeren van OSPF voor IPv6

Gebruikte componenten

De informatie in dit document is gebaseerd op de Cisco 7200 Series router op Cisco IOS-softwarerelease 15.1 (voor routers R1 en R2).

Conventies

Raadpleeg Conventies voor technische tips van Cisco voor informatie over documentconventies.

Configureren

Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.

Opmerking: Gebruik de Command Lookup Tool (alleen voor geregistreerde klanten) voor meer informatie over de opdrachten die in dit document worden gebruikt.

Netwerkdiagram

Het netwerk in dit document is als volgt opgebouwd:

Configuraties

Dit document gebruikt de volgende configuraties:

Router R1
Router R2

Router R1
R1#show running-config version 15.0 ! hostname R1 ip source-route ip cef ! no ip domain lookup ipv6 unicast-routing !--- Enables the forwarding of IPv6 packets. ipv6 cef interface Loopback1 no ip address ipv6 address 100A:0:100C::1/64 ipv6 enable ipv6 ospf 10 area 0 !--- Enables OSPFv3 on the interface and associates !--- the interface looback1 to area 0. ! ! interface Loopback2 no ip address ipv6 address 200A:0:200C::1/64 ipv6 ospf 10 area 0 ! ! interface Loopback3 no ip address ipv6 address 300A:0:300C::1/64 ipv6 enable ipv6 ospf 10 area 0 ! ! interface Loopback4 no ip address ipv6 address 400A:0:400C::1/64 ipv6 enable ipv6 ospf 10 area 0 ! interface Serial1/0 no ip address ipv6 address AB01:2011:7:100::/64 eui-64 ipv6 enable ipv6 ospf network point-to-point !--- Sets the OSPFv3 network type as point-to-point. ipv6 ospf 10 area 0 ipv6 traffic-filter DENY_TELNET_Lo4 in !--- Filters the traffic based on access list. serial restart-delay 0 clock rate 64000 ! ipv6 router ospf 10 router-id 1.1.1.1 log-adjacency-changes ! ipv6 access-list DENY_TELNET_Lo4 sequence 20 deny tcp host 400A:0:400C::1 host 1001:ABC:2011:7::1 eq telnet !--- Denies telnet access to Lo4 from Lo1 of router R2. permit ipv6 any any ! end

Router R1

R1#show running-config

version 15.0
!
hostname R1
ip source-route
ip cef
!
no ip domain lookup
ipv6 unicast-routing

!--- Enables the forwarding of IPv6 packets.

ipv6 cef

interface Loopback1
 no ip address
 ipv6 address 100A:0:100C::1/64
 ipv6 enable
 ipv6 ospf 10 area 0

!--- Enables OSPFv3 on the interface and associates


!--- the interface looback1 to area 0.

 !
!
interface Loopback2
 no ip address
 ipv6 address 200A:0:200C::1/64
 ipv6 ospf 10 area 0
 !
!
interface Loopback3
 no ip address
 ipv6 address 300A:0:300C::1/64
 ipv6 enable
 ipv6 ospf 10 area 0
 !
!
interface Loopback4
 no ip address
 ipv6 address 400A:0:400C::1/64
 ipv6 enable
 ipv6 ospf 10 area 0
 !
interface Serial1/0
 no ip address
 ipv6 address AB01:2011:7:100::/64 eui-64
 ipv6 enable
 ipv6 ospf network point-to-point

!--- Sets the OSPFv3 network type as point-to-point.

 ipv6 ospf 10 area 0
 ipv6 traffic-filter DENY_TELNET_Lo4 in

!--- Filters the traffic based on access list.

 serial restart-delay 0
 clock rate 64000
 !
ipv6 router ospf 10
 router-id 1.1.1.1
 log-adjacency-changes
!
ipv6 access-list DENY_TELNET_Lo4
 sequence 20 deny tcp host 400A:0:400C::1 host 1001:ABC:2011:7::1 eq telnet

!--- Denies telnet access to Lo4 from Lo1 of router R2.

 permit ipv6 any any
!
end

Router R2
R2#show running-config version 15.0 hostname R2 ip source-route ip cef ! no ip domain lookup ipv6 unicast-routing ipv6 cef ! interface Loopback0 no ip address ipv6 address 1001:ABC:2011:7::1/64 ipv6 enable ipv6 ospf 10 area 0 ! ! interface Serial1/0 no ip address ipv6 address AB01:2011:7:100::/64 eui-64 ipv6 enable ipv6 ospf network point-to-point ipv6 ospf 10 area 0 serial restart-delay 0 ! ipv6 router ospf 10 router-id 2.2.2.2 log-adjacency-changes ! end

Router R2

R2#show running-config

version 15.0
hostname R2
ip source-route
ip cef
!
no ip domain lookup
ipv6 unicast-routing
ipv6 cef
!
interface Loopback0
 no ip address
 ipv6 address 1001:ABC:2011:7::1/64
 ipv6 enable
 ipv6 ospf 10 area 0
 !
!
interface Serial1/0
 no ip address
 ipv6 address AB01:2011:7:100::/64 eui-64
 ipv6 enable
 ipv6 ospf network point-to-point
 ipv6 ospf 10 area 0
 serial restart-delay 0
 !
ipv6 router ospf 10
 router-id 2.2.2.2
 log-adjacency-changes
!
end

Verifiëren

Om de configuratie te verifiëren, gebruik pingelen bevel.

Op router R2

Deze steekproefoutput toont aan dat router R2 de loopbackinterface van router R1 kan bereiken:

R2#ping ipv6 400A:0:400C::1 source lo0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 400A:0:400C::1, timeout is 2 seconds:
Packet sent with a source address of 1001:ABC:2011:7::1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 20/32/44 ms

Probeer telent loopback 4 interface van router R1 van loopback 0 interface van router R2.

R2#telnet 400A:0:400C::1 /source-interface lo0
Trying 400A:0:400C::1, 23 ...
% Connection refused by remote host

De bovenstaande output bevestigt dat het telnet wordt ontkend door de externe host (dat wil zeggen, door router R1).

Gebruik de opdracht show ipv6 access-list DENY_TELNET_Lo4 om de toegangslijst te controleren die in router R1 is gemaakt, zoals in dit voorbeeld:

Op router R1

R1#
show ipv6 access-list DENY_TELNET_Lo4

IPv6 access list DENY_TELNET_Lo4
    deny tcp host 400A:0:400C::1 host 1001:ABC:2011:7::1 eq telnet sequence 20    
    permit ipv6 any any (82 matches) sequence 30

De Output Interpreter Tool (OIT) (alleen voor geregistreerde klanten) ondersteunt bepaalde opdrachten met show. Gebruik de OIT om een analyse te bekijken van de output van de opdracht show.

Problemen oplossen

Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.

Gerelateerde informatie

Revisiegeschiedenis

Revisie	Publicatiedatum	Opmerkingen
1.0	13-Jul-2011	Eerste vrijgave

Was dit document nuttig?

Feedback

Contact Cisco

Een ondersteuningscase openen
(Vereist een Cisco-servicecontract)