Configuratievoorbeeld van IPv6-verkeersfiltering

Downloadopties

PDF (177.1 KB)
Met Adobe Reader op diverse apparaten bekijken
ePub (93.4 KB)
Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
Mobi (Kindle) (89.9 KB)
Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken

Bijgewerkt:19 november 2014

Document-id:113126

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inhoud

Inleiding

Voorwaarden

Vereisten

Gebruikte componenten

Conventies

Configureren

Netwerkdiagram

Configuraties

Verifiëren

Problemen oplossen

Gerelateerde informatie

Inleiding

Dit document biedt een voorbeeldconfiguratie voor de toegangslijsten van IPv6. In het voorbeeld dat in dit document wordt beschreven, worden de routers R1 en R2 geconfigureerd met IPv6-adresseringsschema en zijn verbonden via seriële link. Het routingprotocol dat op de twee routers is ingeschakeld, is IPv6 OSPF-adressering die op beide routers (R1 en R2) is ingesteld, wordt in gebied 0 met deze opdracht aan elkaar geadverteerd: ipv6 ospf-procesid area-id [Bijvoorbeeld-id]. In dit voorbeeld, wordt het vereist om telnet verkeer te ontkennen dat uit de loopback 0 interface van router R2 voortkomt en loopback interface 4 van router R1 bereikt.

Dit configuratievoorbeeld gebruikt de ipv6 access-list-name opdracht om een IPv6-toegangslijst (genaamd DENY_TELNET_Lo4) op router R1 te construeren. Een ontkenningsverklaring ontkent TCP-host 400A:0:400C::1 host 1001:ABC:21:7:1 eq telnet wordt gevolgd door een vergunningsverklaring ipv6 .

Om een IPv6 ACL aan een interface toe te wijzen, gebruikt u deze opdracht in interfacemodi: ipv6 verkeer-filter toegangslijst-naam {in | buiten

Voorwaarden

Vereisten

Zorg ervoor dat u aan deze vereisten voldoet voordat u deze configuratie probeert:

Kennis van IPv6-adresseringsregeling
Kennis van het implementeren van OSPF voor IPv6

router R1
router R2

router R1
R1#show running-config version 15.0 ! hostname R1 ip source-route ip cef ! no ip domain lookup ipv6 unicast-routing !--- Enables the forwarding of IPv6 packets. ipv6 cef interface Loopback1 no ip address ipv6 address 100A:0:100C::1/64 ipv6 enable ipv6 ospf 10 area 0 !--- Enables OSPFv3 on the interface and associates !--- the interface looback1 to area 0. ! ! interface Loopback2 no ip address ipv6 address 200A:0:200C::1/64 ipv6 ospf 10 area 0 ! ! interface Loopback3 no ip address ipv6 address 300A:0:300C::1/64 ipv6 enable ipv6 ospf 10 area 0 ! ! interface Loopback4 no ip address ipv6 address 400A:0:400C::1/64 ipv6 enable ipv6 ospf 10 area 0 ! interface Serial1/0 no ip address ipv6 address AB01:2011:7:100::/64 eui-64 ipv6 enable ipv6 ospf network point-to-point !--- Sets the OSPFv3 network type as point-to-point. ipv6 ospf 10 area 0 ipv6 traffic-filter DENY_TELNET_Lo4 in !--- Filters the traffic based on access list. serial restart-delay 0 clock rate 64000 ! ipv6 router ospf 10 router-id 1.1.1.1 log-adjacency-changes ! ipv6 access-list DENY_TELNET_Lo4 sequence 20 deny tcp host 400A:0:400C::1 host 1001:ABC:2011:7::1 eq telnet !--- Denies telnet access to Lo4 from Lo1 of router R2. permit ipv6 any any ! end

router R1

R1#show running-config

version 15.0
!
hostname R1
ip source-route
ip cef
!
no ip domain lookup
ipv6 unicast-routing

!--- Enables the forwarding of IPv6 packets.

ipv6 cef

interface Loopback1
 no ip address
 ipv6 address 100A:0:100C::1/64
 ipv6 enable
 ipv6 ospf 10 area 0

!--- Enables OSPFv3 on the interface and associates


!--- the interface looback1 to area 0.

 !
!
interface Loopback2
 no ip address
 ipv6 address 200A:0:200C::1/64
 ipv6 ospf 10 area 0
 !
!
interface Loopback3
 no ip address
 ipv6 address 300A:0:300C::1/64
 ipv6 enable
 ipv6 ospf 10 area 0
 !
!
interface Loopback4
 no ip address
 ipv6 address 400A:0:400C::1/64
 ipv6 enable
 ipv6 ospf 10 area 0
 !
interface Serial1/0
 no ip address
 ipv6 address AB01:2011:7:100::/64 eui-64
 ipv6 enable
 ipv6 ospf network point-to-point

!--- Sets the OSPFv3 network type as point-to-point.

 ipv6 ospf 10 area 0
 ipv6 traffic-filter DENY_TELNET_Lo4 in

!--- Filters the traffic based on access list.

 serial restart-delay 0
 clock rate 64000
 !
ipv6 router ospf 10
 router-id 1.1.1.1
 log-adjacency-changes
!
ipv6 access-list DENY_TELNET_Lo4
 sequence 20 deny tcp host 400A:0:400C::1 host 1001:ABC:2011:7::1 eq telnet

!--- Denies telnet access to Lo4 from Lo1 of router R2.

 permit ipv6 any any
!
end

router R2
R2#show running-config version 15.0 hostname R2 ip source-route ip cef ! no ip domain lookup ipv6 unicast-routing ipv6 cef ! interface Loopback0 no ip address ipv6 address 1001:ABC:2011:7::1/64 ipv6 enable ipv6 ospf 10 area 0 ! ! interface Serial1/0 no ip address ipv6 address AB01:2011:7:100::/64 eui-64 ipv6 enable ipv6 ospf network point-to-point ipv6 ospf 10 area 0 serial restart-delay 0 ! ipv6 router ospf 10 router-id 2.2.2.2 log-adjacency-changes ! end

router R2

R2#show running-config

version 15.0
hostname R2
ip source-route
ip cef
!
no ip domain lookup
ipv6 unicast-routing
ipv6 cef
!
interface Loopback0
 no ip address
 ipv6 address 1001:ABC:2011:7::1/64
 ipv6 enable
 ipv6 ospf 10 area 0
 !
!
interface Serial1/0
 no ip address
 ipv6 address AB01:2011:7:100::/64 eui-64
 ipv6 enable
 ipv6 ospf network point-to-point
 ipv6 ospf 10 area 0
 serial restart-delay 0
 !
ipv6 router ospf 10
 router-id 2.2.2.2
 log-adjacency-changes
!
end

Verifiëren

Gebruik de opdracht ping om de configuratie te controleren.

Op router R2

Deze steekproefuitvoer toont aan dat router R2 de loopback interface van router R1 kan bereiken:

R2#ping ipv6 400A:0:400C::1 source lo0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 400A:0:400C::1, timeout is 2 seconds:
Packet sent with a source address of 1001:ABC:2011:7::1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 20/32/44 ms

Probeer telent loopback 4 interface van router R1 van de loopback 0 interface van router R2.

R2#telnet 400A:0:400C::1 /source-interface lo0
Trying 400A:0:400C::1, 23 ...
% Connection refused by remote host

Bovenstaande output bevestigt dat het telnet wordt ontkend door de afstandsbediening (d.w.z. door router R1).

Gebruik het opdracht Show ipv6 access-list DENY_TELNET_Lo4 om de toegangslijst te controleren die in router R1 zoals getoond in dit voorbeeld wordt gemaakt:

Op router R1

R1#
show ipv6 access-list DENY_TELNET_Lo4

IPv6 access list DENY_TELNET_Lo4
    deny tcp host 400A:0:400C::1 host 1001:ABC:2011:7::1 eq telnet sequence 20    
    permit ipv6 any any (82 matches) sequence 30

Het Uitvoer Tolk (uitsluitend geregistreerde klanten) (OIT) ondersteunt bepaalde show opdrachten. Gebruik de OIT om een analyse van tonen opdrachtoutput te bekijken.

Problemen oplossen

Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.

Gerelateerde informatie

Was dit document nuttig?

Feedback

Contact Cisco

Een ondersteuningscase openen
(Vereist een Cisco-servicecontract)