Konfigurationsbeispiel für die Zugriffsliste für die IPv6-Datenverkehrsfilterung

Download-Optionen

  • PDF     (224.6 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (97.4 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (95.3 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:19. November 2014
Dokument-ID:113126

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einführung

Dieses Dokument enthält eine Beispielkonfiguration für IPv6-Zugriffslisten. In dem in diesem Dokument beschriebenen Beispiel werden die Router R1 und R2 mit einem IPv6-Adressierungsschema konfiguriert und über eine serielle Verbindung verbunden. Das auf den beiden Routern aktivierte Routing-Protokoll ist IPv6 OSPF, und die auf beiden Routern (R1 und R2) konfigurierten Loopback-Adressen werden untereinander in Bereich 0 mit dem folgenden Befehl angekündigt: ipv6 ospf process-id area-id [instance-id]. In diesem Beispiel muss der Telnet-Datenverkehr, der von der Loopback-0-Schnittstelle des Routers R2 ausgeht und die die Loopback-Schnittstelle 4 des Routers R1 erreicht, abgelehnt werden.

In diesem Konfigurationsbeispiel wird der Befehl ipv6 access-list access-list-name verwendet, um eine IPv6-Zugriffsliste (DENY_TELNET_Lo4) auf Router R1 zu erstellen. Auf die deny-Anweisung deny tcp host 400A:0:400C::1 host 1001:ABC:2011:7::1 eq telnet folgt eine Genehmigungsanweisung permit ipv6 any .

Um eine IPv6-ACL einer Schnittstelle zuzuweisen, verwenden Sie den folgenden Befehl im Schnittstellenkonfigurationsmodus: ipv6 traffic filter access-list-name {in | out}

Voraussetzungen

Anforderungen

Stellen Sie sicher, dass Sie diese Anforderungen erfüllen, bevor Sie versuchen, diese Konfiguration durchzuführen:

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf dem Cisco Router der Serie 7200 in Version 15.1 der Cisco IOS-Software (für Router R1- und R2-Konfigurationen).

Konventionen

Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Konfigurieren

In diesem Abschnitt erhalten Sie Informationen zum Konfigurieren der in diesem Dokument beschriebenen Funktionen.

Hinweis: Verwenden Sie das Command Lookup Tool (nur registrierte Kunden), um weitere Informationen zu den in diesem Dokument verwendeten Befehlen zu erhalten.

Netzwerkdiagramm

In diesem Dokument wird die folgende Netzwerkeinrichtung verwendet:

ipv6-acl-01.gif

Konfigurationen

In diesem Dokument werden folgende Konfigurationen verwendet:

  • Router R1

  • Router R2

Router R1 
R1#show running-config

version 15.0
!
hostname R1
ip source-route
ip cef
!
no ip domain lookup
ipv6 unicast-routing

!--- Enables the forwarding of IPv6 packets.

ipv6 cef

interface Loopback1
 no ip address
 ipv6 address 100A:0:100C::1/64
 ipv6 enable
 ipv6 ospf 10 area 0

!--- Enables OSPFv3 on the interface and associates


!--- the interface looback1 to area 0.

 !
!
interface Loopback2
 no ip address
 ipv6 address 200A:0:200C::1/64
 ipv6 ospf 10 area 0
 !
!
interface Loopback3
 no ip address
 ipv6 address 300A:0:300C::1/64
 ipv6 enable
 ipv6 ospf 10 area 0
 !
!
interface Loopback4
 no ip address
 ipv6 address 400A:0:400C::1/64
 ipv6 enable
 ipv6 ospf 10 area 0
 !
interface Serial1/0
 no ip address
 ipv6 address AB01:2011:7:100::/64 eui-64
 ipv6 enable
 ipv6 ospf network point-to-point

!--- Sets the OSPFv3 network type as point-to-point.

 ipv6 ospf 10 area 0
 ipv6 traffic-filter DENY_TELNET_Lo4 in

!--- Filters the traffic based on access list.

 serial restart-delay 0
 clock rate 64000
 !
ipv6 router ospf 10
 router-id 1.1.1.1
 log-adjacency-changes
!
ipv6 access-list DENY_TELNET_Lo4
 sequence 20 deny tcp host 400A:0:400C::1 host 1001:ABC:2011:7::1 eq telnet

!--- Denies telnet access to Lo4 from Lo1 of router R2.

 permit ipv6 any any
!
end

Router R2 
R2#show running-config

version 15.0
hostname R2
ip source-route
ip cef
!
no ip domain lookup
ipv6 unicast-routing
ipv6 cef
!
interface Loopback0
 no ip address
 ipv6 address 1001:ABC:2011:7::1/64
 ipv6 enable
 ipv6 ospf 10 area 0
 !
!
interface Serial1/0
 no ip address
 ipv6 address AB01:2011:7:100::/64 eui-64
 ipv6 enable
 ipv6 ospf network point-to-point
 ipv6 ospf 10 area 0
 serial restart-delay 0
 !
ipv6 router ospf 10
 router-id 2.2.2.2
 log-adjacency-changes
!
end

Überprüfen

Um die Konfiguration zu überprüfen, verwenden Sie den Befehl ping.

Router R2

Diese Beispielausgabe zeigt, dass Router R2 die Loopback-Schnittstelle des Routers R1 erreichen kann:

R2#ping ipv6 400A:0:400C::1 source lo0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 400A:0:400C::1, timeout is 2 seconds:
Packet sent with a source address of 1001:ABC:2011:7::1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 20/32/44 ms

Testen Sie die telent Loopback 4-Schnittstelle des Routers R1 über die Loopback 0-Schnittstelle des Routers R2.

R2#telnet 400A:0:400C::1 /source-interface lo0
Trying 400A:0:400C::1, 23 ...
% Connection refused by remote host

Die oben angegebene Ausgabe bestätigt, dass das Telnet vom Remote-Host (d. h. vom Router R1) abgelehnt wird.

Verwenden Sie den Befehl show ipv6 access-list DENY_TELNET_Lo4, um die in Router R1 erstellte Zugriffsliste zu überprüfen, wie in diesem Beispiel gezeigt:

Router R1 

R1#
show ipv6 access-list DENY_TELNET_Lo4

IPv6 access list DENY_TELNET_Lo4
    deny tcp host 400A:0:400C::1 host 1001:ABC:2011:7::1 eq telnet sequence 20    
    permit ipv6 any any (82 matches) sequence 30

Das Output Interpreter Tool (nur registrierte Kunden) (OIT) unterstützt bestimmte show-Befehle. Verwenden Sie das OIT, um eine Analyse der Ausgabe des Befehls show anzuzeigen.

Fehlerbehebung

Für diese Konfiguration sind derzeit keine spezifischen Informationen zur Fehlerbehebung verfügbar.

Zugehörige Informationen

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren