IPv6 トラフィック フィルタリングのアクセス リストの設定例
概要
このドキュメントでは、IPv6 アクセス リストの設定例について説明します。このドキュメントで説明する例では、ルータR1とR2はIPv6アドレッシング方式で設定され、シリアルリンク経由で接続されています。2台のルータで有効になっているルーティングプロトコルはIPv6 OSPFであり、両方のルータ(R1とR2)に設定されているループバックアドレスは、次のコマンドを使用してエリア0内の互いにアドバタイズされます。 ipv6 ospf process-id area area-id [instance instance instance-id] 。この例では、ルータR2のループバック0インターフェイスから発信され、ルータR1のループバックインターフェイス4に到達するTelnetトラフィックを拒否する必要があります。
この設定例では、ipv6 access-list access-list-nameコマンドを使用してルータR1にIPv6アクセスリスト(DENY_TELNET_Lo4)を作成します。deny文deny tcp host 400A:0:400C::1 host 1 1ABC :2011:7::1 eq telnetの後にpermit文permit ipv6 any anyが続きます。
インターフェイスにIPv6 ACLを割り当てるには、インターフェイスコンフィギュレーションモードで次のコマンドを使用します。 ipv6 traffic-filter access-list-name {in | out}
前提条件
要件
この設定を行う前に、次の要件が満たされていることを確認します。
-
IPv6 アドレッシング スキームの知識
-
OSPF for IPv6の実装に関する知識
使用するコンポーネント
このドキュメントの情報は、Cisco IOSソフトウェアリリース15.1(ルータR1およびR2の設定)上のCisco 7200シリーズルータに基づいています。
表記法
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
設定
このセクションでは、このドキュメントで説明する機能を設定するために必要な情報を提供しています。
注: このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool(登録ユーザ専用)を使用してください。
ネットワーク図
このドキュメントでは、次のネットワーク セットアップを使用します。
設定
このドキュメントでは、次の構成を使用します。
-
ルータ R1
-
ルータ R2
| ルータ R1 |
|---|
R1#show running-config version 15.0 ! hostname R1 ip source-route ip cef ! no ip domain lookup ipv6 unicast-routing !--- Enables the forwarding of IPv6 packets. ipv6 cef interface Loopback1 no ip address ipv6 address 100A:0:100C::1/64 ipv6 enable ipv6 ospf 10 area 0 !--- Enables OSPFv3 on the interface and associates !--- the interface looback1 to area 0. ! ! interface Loopback2 no ip address ipv6 address 200A:0:200C::1/64 ipv6 ospf 10 area 0 ! ! interface Loopback3 no ip address ipv6 address 300A:0:300C::1/64 ipv6 enable ipv6 ospf 10 area 0 ! ! interface Loopback4 no ip address ipv6 address 400A:0:400C::1/64 ipv6 enable ipv6 ospf 10 area 0 ! interface Serial1/0 no ip address ipv6 address AB01:2011:7:100::/64 eui-64 ipv6 enable ipv6 ospf network point-to-point !--- Sets the OSPFv3 network type as point-to-point. ipv6 ospf 10 area 0 ipv6 traffic-filter DENY_TELNET_Lo4 in !--- Filters the traffic based on access list. serial restart-delay 0 clock rate 64000 ! ipv6 router ospf 10 router-id 1.1.1.1 log-adjacency-changes ! ipv6 access-list DENY_TELNET_Lo4 sequence 20 deny tcp host 400A:0:400C::1 host 1001:ABC:2011:7::1 eq telnet !--- Denies telnet access to Lo4 from Lo1 of router R2. permit ipv6 any any ! end |
| ルータ R2 |
|---|
R2#show running-config version 15.0 hostname R2 ip source-route ip cef ! no ip domain lookup ipv6 unicast-routing ipv6 cef ! interface Loopback0 no ip address ipv6 address 1001:ABC:2011:7::1/64 ipv6 enable ipv6 ospf 10 area 0 ! ! interface Serial1/0 no ip address ipv6 address AB01:2011:7:100::/64 eui-64 ipv6 enable ipv6 ospf network point-to-point ipv6 ospf 10 area 0 serial restart-delay 0 ! ipv6 router ospf 10 router-id 2.2.2.2 log-adjacency-changes ! end |
確認
設定を確認するには、pingコマンドを使用します。
ルータ R2
次の出力例は、ルータR2がルータR1のループバックインターフェイスに到達できることを示しています。
R2#ping ipv6 400A:0:400C::1 source lo0 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 400A:0:400C::1, timeout is 2 seconds: Packet sent with a source address of 1001:ABC:2011:7::1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 20/32/44 ms
ルータR2のloopback 0インターフェイスからルータR1のtelent loopback 4インターフェイスを試行します。
R2#telnet 400A:0:400C::1 /source-interface lo0 Trying 400A:0:400C::1, 23 ... % Connection refused by remote host
上記の出力は、telnetがリモートホスト(つまりルータR1)によって拒否されたことを示しています。
show ipv6 access-list DENY_TELNET_Lo4コマンドを使用して、次の例に示すように、ルータR1で作成されたアクセスリストを確認します。
ルータ R1 上
R1# show ipv6 access-list DENY_TELNET_Lo4 IPv6 access list DENY_TELNET_Lo4 deny tcp host 400A:0:400C::1 host 1001:ABC:2011:7::1 eq telnet sequence 20 permit ipv6 any any (82 matches) sequence 30
アウトプット インタープリタ ツール(登録ユーザ専用)(OIT)は、特定の show コマンドをサポートします。OIT を使用して、show コマンドの出力の分析を表示します。
トラブルシュート
現在、この設定に関する特定のトラブルシューティング情報はありません。
フィードバック