Exemplo de configuração da lista de acesso de filtragem de tráfego IPv6

Introduction

Este documento fornece uma configuração de exemplo para listas de acesso IPv6. No exemplo descrito neste documento, os roteadores R1 e R2 são configurados com o esquema de endereçamento IPv6 e conectados através do link serial. O protocolo de roteamento ativado nos dois roteadores é o OSPF IPv6 e os endereços de loopback configurados nos dois roteadores (R1 e R2) são anunciados entre si na área 0 com este comando: ipv6 ospf process-id area area-id [instance-id] . Neste exemplo, é necessário negar o tráfego telnet que se origina da interface de loopback 0 do roteador R2 e alcança a interface de loopback 4 do roteador R1.

Este exemplo de configuração usa o comando ipv6 access-list access-list-name para construir uma lista de acesso IPv6 (denominada DENY_TELNET_Lo4) no roteador R1. Uma instrução deny deny tcp host 400A:0:400C::1 host 1001:ABC:2011:7::1 eq telnet é seguida de uma instrução permit permit ipv6 any any .

Para atribuir uma ACL IPv6 a uma interface, use este comando no modo de configuração de interface: ipv6 traffic-filter access-list-name {in | saída}

Prerequisites

Requirements

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

• Conhecimento do Esquema de Endereçamento IPv6

• Conhecimento da Implementação do OSPF para IPv6

Componentes Utilizados

As informações neste documento são baseadas no Cisco 7200 Series Router no Cisco IOS Software Release 15.1 (para as configurações dos roteadores R1 e R2).

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter informações sobre convenções de documentos.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota:Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados neste documento.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

Configurações

Este documento utiliza as seguintes configurações:

• Roteador R1

• Roteador R2

R1#show running-config

version 15.0
!
hostname R1
ip source-route
ip cef
!
no ip domain lookup
ipv6 unicast-routing

!--- Enables the forwarding of IPv6 packets.

ipv6 cef

interface Loopback1
 no ip address
 ipv6 address 100A:0:100C::1/64
 ipv6 enable
 ipv6 ospf 10 area 0

!--- Enables OSPFv3 on the interface and associates


!--- the interface looback1 to area 0.

 !
!
interface Loopback2
 no ip address
 ipv6 address 200A:0:200C::1/64
 ipv6 ospf 10 area 0
 !
!
interface Loopback3
 no ip address
 ipv6 address 300A:0:300C::1/64
 ipv6 enable
 ipv6 ospf 10 area 0
 !
!
interface Loopback4
 no ip address
 ipv6 address 400A:0:400C::1/64
 ipv6 enable
 ipv6 ospf 10 area 0
 !
interface Serial1/0
 no ip address
 ipv6 address AB01:2011:7:100::/64 eui-64
 ipv6 enable
 ipv6 ospf network point-to-point

!--- Sets the OSPFv3 network type as point-to-point.

 ipv6 ospf 10 area 0
 ipv6 traffic-filter DENY_TELNET_Lo4 in

!--- Filters the traffic based on access list.

 serial restart-delay 0
 clock rate 64000
 !
ipv6 router ospf 10
 router-id 1.1.1.1
 log-adjacency-changes
!
ipv6 access-list DENY_TELNET_Lo4
 sequence 20 deny tcp host 400A:0:400C::1 host 1001:ABC:2011:7::1 eq telnet

!--- Denies telnet access to Lo4 from Lo1 of router R2.

 permit ipv6 any any
!
end

R2#show running-config

version 15.0
hostname R2
ip source-route
ip cef
!
no ip domain lookup
ipv6 unicast-routing
ipv6 cef
!
interface Loopback0
 no ip address
 ipv6 address 1001:ABC:2011:7::1/64
 ipv6 enable
 ipv6 ospf 10 area 0
 !
!
interface Serial1/0
 no ip address
 ipv6 address AB01:2011:7:100::/64 eui-64
 ipv6 enable
 ipv6 ospf network point-to-point
 ipv6 ospf 10 area 0
 serial restart-delay 0
 !
ipv6 router ospf 10
 router-id 2.2.2.2
 log-adjacency-changes
!
end

Verificar

Para verificar a configuração, use o comando ping.

No roteador R2

Este exemplo de saída mostra que o roteador R2 pode acessar a interface de loopback do roteador R1:

R2#ping ipv6 400A:0:400C::1 source lo0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 400A:0:400C::1, timeout is 2 seconds:
Packet sent with a source address of 1001:ABC:2011:7::1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 20/32/44 ms

Tente a interface telent loopback 4 do roteador R1 a partir da interface de loopback 0 do roteador R2.

R2#telnet 400A:0:400C::1 /source-interface lo0
Trying 400A:0:400C::1, 23 ...
% Connection refused by remote host

A saída acima confirma que o telnet é negado pelo host remoto (ou seja, pelo roteador R1).

Use o comando show ipv6 access-list DENY_TELNET_Lo4 para verificar a lista de acesso criada no roteador R1 como mostrado neste exemplo:

No roteador R1

R1#
show ipv6 access-list DENY_TELNET_Lo4

IPv6 access list DENY_TELNET_Lo4
    deny tcp host 400A:0:400C::1 host 1001:ABC:2011:7::1 eq telnet sequence 20    
    permit ipv6 any any (82 matches) sequence 30

A Output Interpreter Tool ( somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Troubleshoot

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

Informações Relacionadas

• Guia de configuração do IPv6, Cisco IOS versão 15.1 M&T
• Suporte tecnológico IPv6
• Suporte Técnico e Documentação - Cisco Systems