IPv6流量过滤访问列表配置示例
简介
本文档提供IPv6访问列表的示例配置。在本文档中描述的示例中,路由器R1和R2配置了IPv6编址方案,并通过串行链路连接。两台路由器上启用的路由协议是IPv6 OSPF,并且两台路由器(R1和R2)上配置的环回地址在区域0中使用以下命令相互通告: ipv6 ospf process-id area area-id [instance instance-id]。在本例中,需要拒绝源自路由器R2的loopback 0接口并到达路由器R1的loopback接口4的telnet流量。
此配置示例使用ipv6 access-list access-list-name命令在路由器R1上构建IPv6访问列表(名为DENY_TELNET_Lo4)。deny语句deny tcp host 400A:0:400C::1 host 1001:ABC:2011:7::1 eq telnet后跟permit语句permit ipv6 any any any。
要将IPv6 ACL分配给接口,请在接口配置模式下使用以下命令: ipv6 traffic-filter access-list-name {in | out}
先决条件
要求
尝试进行此配置之前,请确保满足以下要求:
-
具备与 IPv6 寻址方案相关的知识
-
对IPv6实施OSPF的知识
使用的组件
本文档中的信息基于Cisco IOS软件版本15.1(路由器R1和R2配置)上的Cisco 7200系列路由器。
规则
有关文档规则的信息,请参阅 Cisco 技术提示规则。
配置
本部分提供有关如何配置本文档所述功能的信息。
注意:使用命令查找工具(仅限注册客户)可查找有关本文档中使用的命令的详细信息。
网络图
本文档使用以下网络设置:
配置
本文档使用以下配置:
-
路由器 R1
-
路由器 R2
| 路由器 R1 |
|---|
R1#show running-config version 15.0 ! hostname R1 ip source-route ip cef ! no ip domain lookup ipv6 unicast-routing !--- Enables the forwarding of IPv6 packets. ipv6 cef interface Loopback1 no ip address ipv6 address 100A:0:100C::1/64 ipv6 enable ipv6 ospf 10 area 0 !--- Enables OSPFv3 on the interface and associates !--- the interface looback1 to area 0. ! ! interface Loopback2 no ip address ipv6 address 200A:0:200C::1/64 ipv6 ospf 10 area 0 ! ! interface Loopback3 no ip address ipv6 address 300A:0:300C::1/64 ipv6 enable ipv6 ospf 10 area 0 ! ! interface Loopback4 no ip address ipv6 address 400A:0:400C::1/64 ipv6 enable ipv6 ospf 10 area 0 ! interface Serial1/0 no ip address ipv6 address AB01:2011:7:100::/64 eui-64 ipv6 enable ipv6 ospf network point-to-point !--- Sets the OSPFv3 network type as point-to-point. ipv6 ospf 10 area 0 ipv6 traffic-filter DENY_TELNET_Lo4 in !--- Filters the traffic based on access list. serial restart-delay 0 clock rate 64000 ! ipv6 router ospf 10 router-id 1.1.1.1 log-adjacency-changes ! ipv6 access-list DENY_TELNET_Lo4 sequence 20 deny tcp host 400A:0:400C::1 host 1001:ABC:2011:7::1 eq telnet !--- Denies telnet access to Lo4 from Lo1 of router R2. permit ipv6 any any ! end |
| 路由器 R2 |
|---|
R2#show running-config version 15.0 hostname R2 ip source-route ip cef ! no ip domain lookup ipv6 unicast-routing ipv6 cef ! interface Loopback0 no ip address ipv6 address 1001:ABC:2011:7::1/64 ipv6 enable ipv6 ospf 10 area 0 ! ! interface Serial1/0 no ip address ipv6 address AB01:2011:7:100::/64 eui-64 ipv6 enable ipv6 ospf network point-to-point ipv6 ospf 10 area 0 serial restart-delay 0 ! ipv6 router ospf 10 router-id 2.2.2.2 log-adjacency-changes ! end |
验证
要验证配置,请使用ping命令。
在路由器 R2 上
此输出示例显示路由器R2可以到达路由器R1的环回接口:
R2#ping ipv6 400A:0:400C::1 source lo0 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 400A:0:400C::1, timeout is 2 seconds: Packet sent with a source address of 1001:ABC:2011:7::1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 20/32/44 ms
尝试从路由器R2的loopback 0接口中telent loopback 4接口。
R2#telnet 400A:0:400C::1 /source-interface lo0 Trying 400A:0:400C::1, 23 ... % Connection refused by remote host
以上输出确认远程主机(即路由器R1)拒绝telnet。
使用show ipv6 access-list DENY_TELNET_Lo4命令检查在路由器R1中创建的访问列表,如本例所示:
在路由器R1上
R1# show ipv6 access-list DENY_TELNET_Lo4 IPv6 access list DENY_TELNET_Lo4 deny tcp host 400A:0:400C::1 host 1001:ABC:2011:7::1 eq telnet sequence 20 permit ipv6 any any (82 matches) sequence 30
命令输出解释程序(仅限注册用户)(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。
故障排除
目前没有针对此配置的故障排除信息。
反馈