本文檔提供了IPv6訪問清單的配置示例。在本檔案中描述的示例中,路由器R1和R2配置了IPv6編址方案,並通過串列鏈路連線。兩台路由器上啟用的路由協定是IPv6 OSPF,兩台路由器(R1和R2)上配置的環回地址通過以下命令在區域0中通告給彼此: ipv6 ospf process-id area area-id [instance-id] 。在本示例中,需要拒絕源自路由器R2的loopback 0介面並到達路由器R1的loopback介面4的telnet流量。
此配置示例使用ipv6 access-list access-list-name 命令在路由器R1上構建IPv6訪問清單(名稱為DENY_TELNET_Lo4)。deny語句deny tcp host 400A:0:400C::1 host 1001:ABC:2011:7::1 eq telnet後跟一個permit語句permit ipv6 any。
要將IPv6 ACL分配給介面,請在介面配置模式下使用以下命令: ipv6 traffic-filter access-list-name {in |外寄}
嘗試此組態設定之前,請確保您符合以下需求:
瞭解IPv6編址方案
本文檔中的資訊基於Cisco IOS軟體版本15.1上的Cisco 7200系列路由器(用於路由器R1和R2配置)。
如需檔案慣例的相關資訊,請參閱思科技術提示慣例。
本節提供用於設定本文件中所述功能的資訊。
註:使用Command Lookup Tool(僅限註冊客戶)查詢有關本文檔中使用的命令的更多資訊。
此文件使用以下網路設定:
本文件使用以下組態:
路由器R1
路由器R2
路由器R1 |
---|
R1#show running-config version 15.0 ! hostname R1 ip source-route ip cef ! no ip domain lookup ipv6 unicast-routing !--- Enables the forwarding of IPv6 packets. ipv6 cef interface Loopback1 no ip address ipv6 address 100A:0:100C::1/64 ipv6 enable ipv6 ospf 10 area 0 !--- Enables OSPFv3 on the interface and associates !--- the interface looback1 to area 0. ! ! interface Loopback2 no ip address ipv6 address 200A:0:200C::1/64 ipv6 ospf 10 area 0 ! ! interface Loopback3 no ip address ipv6 address 300A:0:300C::1/64 ipv6 enable ipv6 ospf 10 area 0 ! ! interface Loopback4 no ip address ipv6 address 400A:0:400C::1/64 ipv6 enable ipv6 ospf 10 area 0 ! interface Serial1/0 no ip address ipv6 address AB01:2011:7:100::/64 eui-64 ipv6 enable ipv6 ospf network point-to-point !--- Sets the OSPFv3 network type as point-to-point. ipv6 ospf 10 area 0 ipv6 traffic-filter DENY_TELNET_Lo4 in !--- Filters the traffic based on access list. serial restart-delay 0 clock rate 64000 ! ipv6 router ospf 10 router-id 1.1.1.1 log-adjacency-changes ! ipv6 access-list DENY_TELNET_Lo4 sequence 20 deny tcp host 400A:0:400C::1 host 1001:ABC:2011:7::1 eq telnet !--- Denies telnet access to Lo4 from Lo1 of router R2. permit ipv6 any any ! end |
路由器R2 |
---|
R2#show running-config version 15.0 hostname R2 ip source-route ip cef ! no ip domain lookup ipv6 unicast-routing ipv6 cef ! interface Loopback0 no ip address ipv6 address 1001:ABC:2011:7::1/64 ipv6 enable ipv6 ospf 10 area 0 ! ! interface Serial1/0 no ip address ipv6 address AB01:2011:7:100::/64 eui-64 ipv6 enable ipv6 ospf network point-to-point ipv6 ospf 10 area 0 serial restart-delay 0 ! ipv6 router ospf 10 router-id 2.2.2.2 log-adjacency-changes ! end |
若要驗證設定,請使用ping指令。
在路由器R2上
此輸出示例顯示路由器R2可以到達路由器R1的環回介面:
R2#ping ipv6 400A:0:400C::1 source lo0 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 400A:0:400C::1, timeout is 2 seconds: Packet sent with a source address of 1001:ABC:2011:7::1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 20/32/44 ms
從路由器R2的環回0介面嘗試路由器R1的telnet loopback 4介面。
R2#telnet 400A:0:400C::1 /source-interface lo0 Trying 400A:0:400C::1, 23 ... % Connection refused by remote host
上述輸出確認遠端主機(即路由器R1)拒絕了telnet。
使用show ipv6 access-list DENY_TELNET_Lo4 命令檢查路由器R1中建立的訪問清單,如下例所示:
在路由器R1上
R1# show ipv6 access-list DENY_TELNET_Lo4 IPv6 access list DENY_TELNET_Lo4 deny tcp host 400A:0:400C::1 host 1001:ABC:2011:7::1 eq telnet sequence 20 permit ipv6 any any (82 matches) sequence 30
輸出直譯器工具(僅供已註冊客戶使用)(OIT)支援某些show命令。使用OIT檢視show命令輸出的分析。
目前尚無適用於此組態的具體疑難排解資訊。
修訂 | 發佈日期 | 意見 |
---|---|---|
1.0 |
13-Jul-2011 |
初始版本 |