Esempio di configurazione dell'elenco accessi del filtro traffico IPv6

Introduzione

In questo documento viene fornita una configurazione di esempio per gli elenchi di accesso IPv6. Nell'esempio descritto in questo documento, i router R1 e R2 sono configurati con lo schema di indirizzamento IPv6 e connessi tramite collegamento seriale. Il protocollo di routing abilitato sui due router è IPv6 OSPF e gli indirizzi di loopback configurati su entrambi i router (R1 e R2) vengono reciprocamente annunciati nell'area 0 con questo comando: ipv6 ospf process-id area area-id [instance-id] . Nell'esempio, viene richiesto di bloccare il traffico telnet che proviene dall'interfaccia 0 di loopback del router R2 e raggiunge l'interfaccia 4 di loopback del router R1.

In questo esempio di configurazione viene utilizzato il comando ipv6 access-list-list-name per creare un elenco di accesso IPv6 (denominato DENY_TELNET_Lo4) sul router R1. Un'istruzione deny deny host tcp 400A:0:400C::1 host 1001:ABC:2011:7:1 eq telnet è seguita da un'istruzione allow allow ipv6 any .

Per assegnare un ACL IPv6 a un'interfaccia, utilizzare questo comando in modalità di configurazione interfaccia: ipv6 traffic-filter access-list-name {in} | in uscita}

Prerequisiti

Requisiti

Prima di provare questa configurazione, accertarsi di soddisfare i seguenti requisiti:

• Conoscenza dello schema di indirizzamento IPv6

• Conoscenze dell'implementazione OSPF per IPv6

Componenti usati

Per la stesura del documento, sono stati usati router Cisco serie 7200 con software Cisco IOS versione 15.1 (per router e configurazioni R1 e R2).

Convenzioni

Per ulteriori informazioni sulle convenzioni usate, consultare il documento Cisco sulle convenzioni nei suggerimenti tecnici.

Configurazione

In questa sezione vengono presentate le informazioni necessarie per configurare le funzionalità descritte più avanti nel documento.

Nota: per ulteriori informazioni sui comandi menzionati in questo documento, usare lo strumento di ricerca dei comandi (solo utenti registrati).

Esempio di rete

Nel documento viene usata questa impostazione di rete:

Configurazioni

Nel documento vengono usate queste configurazioni:

• Router R1

• Router R2

R1#show running-config

version 15.0
!
hostname R1
ip source-route
ip cef
!
no ip domain lookup
ipv6 unicast-routing

!--- Enables the forwarding of IPv6 packets.

ipv6 cef

interface Loopback1
 no ip address
 ipv6 address 100A:0:100C::1/64
 ipv6 enable
 ipv6 ospf 10 area 0

!--- Enables OSPFv3 on the interface and associates


!--- the interface looback1 to area 0.

 !
!
interface Loopback2
 no ip address
 ipv6 address 200A:0:200C::1/64
 ipv6 ospf 10 area 0
 !
!
interface Loopback3
 no ip address
 ipv6 address 300A:0:300C::1/64
 ipv6 enable
 ipv6 ospf 10 area 0
 !
!
interface Loopback4
 no ip address
 ipv6 address 400A:0:400C::1/64
 ipv6 enable
 ipv6 ospf 10 area 0
 !
interface Serial1/0
 no ip address
 ipv6 address AB01:2011:7:100::/64 eui-64
 ipv6 enable
 ipv6 ospf network point-to-point

!--- Sets the OSPFv3 network type as point-to-point.

 ipv6 ospf 10 area 0
 ipv6 traffic-filter DENY_TELNET_Lo4 in

!--- Filters the traffic based on access list.

 serial restart-delay 0
 clock rate 64000
 !
ipv6 router ospf 10
 router-id 1.1.1.1
 log-adjacency-changes
!
ipv6 access-list DENY_TELNET_Lo4
 sequence 20 deny tcp host 400A:0:400C::1 host 1001:ABC:2011:7::1 eq telnet

!--- Denies telnet access to Lo4 from Lo1 of router R2.

 permit ipv6 any any
!
end

R2#show running-config

version 15.0
hostname R2
ip source-route
ip cef
!
no ip domain lookup
ipv6 unicast-routing
ipv6 cef
!
interface Loopback0
 no ip address
 ipv6 address 1001:ABC:2011:7::1/64
 ipv6 enable
 ipv6 ospf 10 area 0
 !
!
interface Serial1/0
 no ip address
 ipv6 address AB01:2011:7:100::/64 eui-64
 ipv6 enable
 ipv6 ospf network point-to-point
 ipv6 ospf 10 area 0
 serial restart-delay 0
 !
ipv6 router ospf 10
 router-id 2.2.2.2
 log-adjacency-changes
!
end

Verifica

Per verificare la configurazione, usare il comando ping.

Su router R2

In questo output di esempio viene mostrato che il router R2 può raggiungere l'interfaccia di loopback del router R1:

R2#ping ipv6 400A:0:400C::1 source lo0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 400A:0:400C::1, timeout is 2 seconds:
Packet sent with a source address of 1001:ABC:2011:7::1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 20/32/44 ms

Provare l'interfaccia telent loopback 4 del router R1 dall'interfaccia loopback 0 del router R2.

R2#telnet 400A:0:400C::1 /source-interface lo0
Trying 400A:0:400C::1, 23 ...
% Connection refused by remote host

L'output sopra riportato conferma che la connessione telnet viene negata dall'host remoto (ossia dal router R1).

Usare il comando show ipv6 access-list DENY_TELNET_Lo4 per controllare l'elenco degli accessi creato nel router R1, come mostrato nell'esempio:

Su router R1

R1#
show ipv6 access-list DENY_TELNET_Lo4

IPv6 access list DENY_TELNET_Lo4
    deny tcp host 400A:0:400C::1 host 1001:ABC:2011:7::1 eq telnet sequence 20    
    permit ipv6 any any (82 matches) sequence 30

Lo strumento Output Interpreter (solo utenti registrati) (OIT) supporta alcuni comandi show. Usare l'OIT per visualizzare un'analisi dell'output del comando show.

Risoluzione dei problemi

Al momento non sono disponibili informazioni specifiche per la risoluzione dei problemi di questa configurazione.

Informazioni correlate

• Guida alla configurazione di IPv6, Cisco IOS release 15.1 M e T
• Supporto della tecnologia IPv6
• Documentazione e supporto tecnico – Cisco Systems