IPv6流量過濾訪問清單配置示例

下載選項

  • PDF     (350.7 KB)
    在多種裝置上使用 Adobe Reader 檢視
已更新: 2014 年 11 月 19 日
文件 ID:113126

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

簡介

本文檔提供了IPv6訪問清單的配置示例。在本檔案中描述的示例中,路由器R1和R2配置了IPv6編址方案,並通過串列鏈路連線。兩台路由器上啟用的路由協定是IPv6 OSPF,兩台路由器(R1和R2)上配置的環回地址通過以下命令在區域0中通告給彼此: ipv6 ospf process-id area area-id [instance-id] 。在本示例中,需要拒絕源自路由器R2的loopback 0介面並到達路由器R1的loopback介面4的telnet流量。

此配置示例使用ipv6 access-list access-list-name 命令在路由器R1上構建IPv6訪問清單(名稱為DENY_TELNET_Lo4)。deny語句deny tcp host 400A:0:400C::1 host 1001:ABC:2011:7::1 eq telnet後跟一個permit語句permit ipv6 any

要將IPv6 ACL分配給介面,請在介面配置模式下使用以下命令: ipv6 traffic-filter access-list-name {in |外寄}

必要條件

需求

嘗試此組態設定之前,請確保您符合以下需求:

採用元件

本文檔中的資訊基於Cisco IOS軟體版本15.1上的Cisco 7200系列路由器(用於路由器R1和R2配置)。

慣例

如需檔案慣例的相關資訊,請參閱思科技術提示慣例

設定

本節提供用於設定本文件中所述功能的資訊。

註:使Command Lookup Tool(僅限註冊客戶)查詢有關本文檔中使用的命令的更多資訊。

網路圖表

此文件使用以下網路設定:

ipv6-acl-01.gif

組態

本文件使用以下組態:

  • 路由器R1

  • 路由器R2

路由器R1 
R1#show running-config

version 15.0
!
hostname R1
ip source-route
ip cef
!
no ip domain lookup
ipv6 unicast-routing

!--- Enables the forwarding of IPv6 packets.

ipv6 cef

interface Loopback1
 no ip address
 ipv6 address 100A:0:100C::1/64
 ipv6 enable
 ipv6 ospf 10 area 0

!--- Enables OSPFv3 on the interface and associates


!--- the interface looback1 to area 0.

 !
!
interface Loopback2
 no ip address
 ipv6 address 200A:0:200C::1/64
 ipv6 ospf 10 area 0
 !
!
interface Loopback3
 no ip address
 ipv6 address 300A:0:300C::1/64
 ipv6 enable
 ipv6 ospf 10 area 0
 !
!
interface Loopback4
 no ip address
 ipv6 address 400A:0:400C::1/64
 ipv6 enable
 ipv6 ospf 10 area 0
 !
interface Serial1/0
 no ip address
 ipv6 address AB01:2011:7:100::/64 eui-64
 ipv6 enable
 ipv6 ospf network point-to-point

!--- Sets the OSPFv3 network type as point-to-point.

 ipv6 ospf 10 area 0
 ipv6 traffic-filter DENY_TELNET_Lo4 in

!--- Filters the traffic based on access list.

 serial restart-delay 0
 clock rate 64000
 !
ipv6 router ospf 10
 router-id 1.1.1.1
 log-adjacency-changes
!
ipv6 access-list DENY_TELNET_Lo4
 sequence 20 deny tcp host 400A:0:400C::1 host 1001:ABC:2011:7::1 eq telnet

!--- Denies telnet access to Lo4 from Lo1 of router R2.

 permit ipv6 any any
!
end

路由器R2 
R2#show running-config

version 15.0
hostname R2
ip source-route
ip cef
!
no ip domain lookup
ipv6 unicast-routing
ipv6 cef
!
interface Loopback0
 no ip address
 ipv6 address 1001:ABC:2011:7::1/64
 ipv6 enable
 ipv6 ospf 10 area 0
 !
!
interface Serial1/0
 no ip address
 ipv6 address AB01:2011:7:100::/64 eui-64
 ipv6 enable
 ipv6 ospf network point-to-point
 ipv6 ospf 10 area 0
 serial restart-delay 0
 !
ipv6 router ospf 10
 router-id 2.2.2.2
 log-adjacency-changes
!
end

驗證

若要驗證設定,請使用ping指令。

在路由器R2上

此輸出示例顯示路由器R2可以到達路由器R1的環回介面:

R2#ping ipv6 400A:0:400C::1 source lo0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 400A:0:400C::1, timeout is 2 seconds:
Packet sent with a source address of 1001:ABC:2011:7::1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 20/32/44 ms

從路由器R2的環回0介面嘗試路由器R1的telnet loopback 4介面。

R2#telnet 400A:0:400C::1 /source-interface lo0
Trying 400A:0:400C::1, 23 ...
% Connection refused by remote host

上述輸出確認遠端主機(即路由器R1)拒絕了telnet。

使用show ipv6 access-list DENY_TELNET_Lo4 命令檢查路由器R1中建立的訪問清單,如下例所示:

在路由器R1上 

R1#
show ipv6 access-list DENY_TELNET_Lo4

IPv6 access list DENY_TELNET_Lo4
    deny tcp host 400A:0:400C::1 host 1001:ABC:2011:7::1 eq telnet sequence 20    
    permit ipv6 any any (82 matches) sequence 30

輸出直譯器工具(僅供已註冊客戶使用)(OIT)支援某些show命令。使用OIT檢視show命令輸出的分析。

疑難排解

目前尚無適用於此組態的具體疑難排解資訊。

相關資訊

修訂記錄

修訂 發佈日期 意見
1.0
13-Jul-2011
初始版本

這份文件是否有所幫助?

Feedback意見

讓思科協助您