IPv6访问列表配置手册.doc

此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 IPv6 访问列表配置手册访问列表配置手册 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 目录目录 第第 1 章章简介简介 1 第第 2 章章IPV6 访问列表简介访问列表简介 2 第第 3 章章IPV6 访问列表配置描述访问列表配置描述 3 第第 4 章章访问列表配置实例访问列表配置实例 11 第第 5 章章访问列表显示与维护访问列表显示与维护 13 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 第第 1 章章简介简介 本章主要描述实现 IPv6 安全功能的访问列表 Access Control Lists 控制技术 本章主要内容 访问列表技术简介 访问列表配置描述 访问列表应用实例 访问列表显示与维护 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 第第 2 章章IPv6 访问列表简介访问列表简介 访问列表 Access Control Lists 即为一组访问控制规则的表项的集合 作为路由器中的的一个强有 力的基础工具 访问列表实现对报文的详细分类 其可用于安全过滤 流量标识 报文标识等 访问列表使用名称来命名 以区分不同的访问列表 每个访问列表由一组按序号 Sequence 标识的 访问控制规则组成 每条规则指明将要匹配的报文特征及相应的执行动作 Permit 或 Deny 执行动作 Permit 或 Deny 其本意为允许或拒绝一个报文的通过 在不同的应用环境下 执行动作与应用相关 一 般 Permit 即接受并处理报文 Deny 则丢弃或忽略对报文的处理 IPv6 访问列表规则的匹配过程与 IPv4 访问列表规则的匹配过程相同 它按照列表规则的序号依次来 进行匹配 一个报文与一条规则相匹配 则执行此条规则的相应动作 否则报文将继续与下一条规则进 行匹配 若所有配置规则都没有匹配发生 则对报文执行默认的动作 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 第第 3 章章IPv6 访问列表配置描述访问列表配置描述 命令命令描述描述配置模式配置模式 ipv6 access list name配置 IPv6 访问列表config permit protocol source ipv6 prefix prefix length any host source ipv6 address operator port number destination ipv6 prefix prefix length any host destination ipv6 address operator port number protocol special options dscp value flow label value fragments routing reflect reflext list name timeout value time range time range name log log input sequence sequence number 配置访问列表 PERMIT 规则config ipv6 acl deny protocol source ipv6 prefix prefix length any host source ipv6 address operator port number destination ipv6 prefix prefix length any host destination ipv6 address operator port number protocol special options dscp value flow label value fragments routing time range time range name log log input sequence sequence number 配置访问列表 DENY 规则config ipv6 acl sequence sequence number evaluate reflex list name 配置引用自反访问列表规则config ipv6 acl sequence sequence number remark remark line 配置访问列表 REMARK 描述 信息 config ipv6 acl ipv6 time range time range name access list access list name 配置时间域访问列表config ipv6 traffic filter access list name in out 在接口下配置应用访问列表config if xxx IPv6 访问列表的创建与删除访问列表的创建与删除 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 配置访问列表 并进入 IPv6 访问列表配置模式 使用本命令的 no 形式用来删除一个访问列表 no ipv6 access list name 语法语法描述描述 name访问列表名称 是最大长度为 32 字节的可打印字符 串 注意 注意 访问列表名称有效长度为 32 字节 当输入超过 32 字节时 将自动截断为 32 字节 执行 ipv6 access list name命令后 列表并不马上创建 只有当列表中配置了规则或 remark 信息 后 才真正创建列表 当将列表中所有配置规则或 remark 删除后 列表将自动删除 访问列表规则的配置访问列表规则的配置 配置访问列表的 PERMIT DENY 规则 使用命令的 no 形式删除相应的规则 no permit protocol source ipv6 prefix prefix length any host source ipv6 address operator port number destination ipv6 prefix prefix length any host destination ipv6 address operator port number protocol special options dscp value flow label value fragments routing reflect reflext list name timeout value time range time range name log log input sequence sequence number no deny protocol source ipv6 prefix prefix length any host source ipv6 address operator port number destination ipv6 prefix prefix length any host destination ipv6 address operator port number protocol special options dscp value flow label value fragments routing time range time range name log log input sequence sequence number 语法语法描述描述 permit指定规则匹配后执行 permit 动作 deny指定规则匹配后执行 deny 动作 protocol规则需要匹配的协议名称或协议号 source ipv6 prefix prefix length destination ipv6 prefix prefix length 用来指定源或目的需要匹配的网络地址范围 any用来表示源或目的地址匹配时匹配任何地址 此关 键字配置等同于配置地址为 0 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 host source ipv6 address host destination ipv6 address 用来指定源或目的需要匹配的主机地址 operator port number 此选项与协议相关 用来指定需要匹配的端口范围 等 operator 可以有如下一些值 eq 匹配特定端口的报文 neq 匹配特定端口除外的报文 gt 匹配端口大于某值的报文 lt 匹配端口小于某值的报文 range 匹配端口处于某范围的报文 wildcard 匹配端口符合某掩码规则的报文 protocol special options指定协议相关的选项 对 tcp icmp 等协议分别有 不同的选项 dscp value指定匹配特定优先级的报文 优先级值范围 0 63 配置时也可以通过名称来指定优先级 一些优先级 名称与值之间的对应关系 flow label value指定匹配特定流的报文 流标签的取值范围 0 1048575 fragments指定匹配含分片选项报文 routing指定匹配含路由选项报文 reflect reflex list name timeout value 指定依据匹配的报文建立相应的自反列表 timeout 用来设置建立的相应规则的超时失效时间 自反选 项只对 pemit 规则有效 time range time range name指定规则相关的时间域列表 当配置时间域列表后 只在当前时间域有效的时候 规则生效 否则规则 不生效 log设置规则匹配后记录相应的日志信息 log input设置规则匹配后记录相应的日志信息 并在规则首 次匹配时 打印匹配的报文内容信息 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 sequence sequence number用来设置规则的序号 序号配置范围 1 4294967294 访问 sequence 序号的设置 可以在规则最后来设置 也可以在最前面进行设置 通过序号的方式 可以 方便的进行规则的插入等 注 注 1 protocol special options 为协议特定的一些选项 列表如下 协议协议选项选项描述描述 TCPack established fin psh rst syn ur g 可配置匹配 TCP 协议的特定标志位 ICMPicmp type icmp code 可指定 icmp 报文的类型 编码 配置匹配特定的 icmp 报文 type code 可以直接指定相应的编码数值 也可以使用 相应的 type code 名称 目前可配置名称的 type 有如下 一些 echo reply echo request mld done mld query mld report nd na nd ns nd redirect packet too big parameter problem router advertisement router renumbering router solicitation time exceeded unreachable 2 DSCP 值与名称的对应关系表 值以二进制形式表示 af11001010af32011100cs3011000 af12001100af33011110cs4100000 af13001110af41100010cs5101000 af21010010af42100100 cs6110000 af22010100af43 100110cs7111000 af23010110 cs1001000default000000 af31011010 cs2010000ef101110 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 3 sequence sequence number 为每条规则设置一个序号 访问列表中规则的匹配是按序号依次来 进行的 通过序号的方式 可以更方便的组织规则 4 在配置规则时 可以不明确的指定规则 sequence 序号 此种情况下 将自动加到当前规则列表 最后 规则的序号为最后规则的序号加 10 在 permit deny 规则配置时 sequence sequence number 命令选项可以放到末尾来进行设置 也可以放到最开始来设置 即 permit deny 命令还有如下的形式 no sequence sequence number permit protocol source ipv6 prefix prefix length any host source ipv6 address operator port number destination ipv6 prefix prefix length any host destination ipv6 address operator port number protocol special options dscp value flow label value fragments routing reflect reflext list name timeout value time range time range name log log input no sequence sequence number deny protocol source ipv6 prefix prefix length any host source ipv6 address operator port number destination ipv6 prefix prefix length any host destination ipv6 address operator port number protocol special options dscp value flow label value fragments routing time range time range name log log input 在删除一条规则时 可以直接使用规则命令的 no 形式 也可以直接使用 no sequence sequence nubmer 命令来进行 自反访问列表规则的配置自反访问列表规则的配置 自反访问列表主要为通过匹配 Permit 访问规则的报文特征而建立的一组访问规则 它是访问列表的 一种扩展功能 主要用来实现类似如下的访问控制 网络 A 与网络 B 通过路由器相连接 网络 A 可以主 动的访问网络 B 但网络 B 不能主动的来访问网络 A 1 自反访问列表的建立 建立自反访问列表 需要在访问列表规则配置时 在 permit 规则中通过 reflect reflex list name timeout value 命令选项来设置 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 reflex list name 即为要创建的自反访问列表名称 当此 permit 规则被匹配时 则根据相应的匹配报 文特征创建列表 创建相应的 permit 规则 其中 timeout 可用来设置创建的此自反规则的超时时间 如 果此自反规则在 timeout 时间内没有任何匹配 规则将自动删除 2 自反访问列表的引用 通过 evaluate 命令来引用一个自反访问列表 其相应的 no 命令形式来删除对一个自反访问列表的引 用 no sequence sequence number evaluate reflex list name 语法语法描述描述 evaluate命令关键字 用来指示引用一个自反访问列表 reflex list name指定要引用的自反访问列表名称 注 注 evaluate 规则也有序号标识其在整个访问列表中的位置 规则删除也可以直接使用 no sequence sequence number 的形式来进行 基于时间域的访问列表规则的配置基于时间域的访问列表规则的配置 在实际的使用环境中 根据安全控制的需要 可能需要在某一段时间内控制一些通信的进行 在另 一段时间控制其他一些通信的进行 对于这种情况 可以使用基于时间域的访问列表 基于时间域的访问规则 在配置访问列表规则时 通过在命令选项中加上 time range time range name 来设置规则时间域相关 其中 time range 为关键字 time range name 为时间域名称 时间域相关的访问规则 在当前时间域时间范围有效时 规则生效 即参与匹配 否则规则不生效 基于时间域的访问列表 除可以配置规则时间域相关外 也可以通过命令来设置整个访问列表时间域相关 no ipv6 time range time range name access list access list name 语法语法描述描述 time range name时间域控制列表名称 access list name访问列表名称 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 访问列表 信息配置访问列表 信息配置 为方便用户 可通过 remark 命令为访问列表规则设定描述信息 sequence sequence number remark remark line no sequence sequence number remark remark line 语法语法描述描述 remark关键字 指明设置描述信息 remark line访问列表描述信息 描述信息最长可以设置 100 字 符 超过长度时 将自动截断 应用访问列表配置应用访问列表配置 访问列表作为系统中的一个基础设施 对报文进行分类 可以供其他各功能模块使用 本节主要介 绍在接口上应用访问列表实现包过滤的配置描述 使用访问列表实现包过滤应用配置主要有以下步骤 1 创建访问列表 2 配置访问列表规则 3 在接口上绑定访问列表 可以通过以下命令在接口上配置绑定访问列表 使用命令相应的 no 形式解除绑定 ipv6 traffic filter access list name in out no ipv6 traffic filter access list name in out 语法语法描述描述 access list name指定接口上要绑定的访问列表名称 in out 指定访问列表在接口上的绑定方向 即对报文进行 入口过滤还是出口过滤 注意 注意 在接口上绑定访问列表对报文进行过滤时 有如下报文需要注意 IPv6 nd 报文完成类似 IPv4 中 ARP 功能 在访问列表中若没有明确配置 Deny 此类 nd 报文或所有报文时 这些报文将被 Permit 用户在配置访问列表接口绑定时 访问列表可以先不存在 此时 过滤并不生效 在之后配置了访 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 问列表后 接口过滤生效 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 第第 4 章章访问列表配置实例访问列表配置实例 本节将以一个完成的实例 来演示访问列表规则的配置以及接口绑定访问列表实现报文过滤的配置 在如上的一个简单网络中 我们来实现禁止网络中所有地址为 IPv6 映射地址的报文通过路由器 可 以采用如下的步骤来配置 假定路由器 f0 接口与图中网络连接 配置访问列表 命令命令描述描述 router configure terminal进入全局配置模式 route config ipv6 access list list test配置访问列表 进入 IPv6 访 问列表配置模式 route config ipv6 acl reamark Disallow mapped addresses as they shouldn t be on the wire 设置 remark 信息 禁止映射 地址报文 route config ipv6 acl deny ipv6 from ffff 0 0 0 0 96 to any禁止源地址为 ffff 0 0 0 0 96 的报文通过 route config ipv6 acl deny ipv6 from any to ffff 0 0 0 0 96禁止目的地址为 ffff 0 0 0 0 96 的报文通过 route config ipv6 acl permit ipv6 any any设置默认规则 允许所有报文 通过 route config ipv6 acl exit退出访问列表配置模式 接口上绑定访问列表 命令命令描述描述 router configure terminal进入全局配置模式 route config interface f0进入接口配置模式 配置 f0 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 接口 route config if f0l ipv6 traffic filter list test in在接口 in 方向上绑定访问列 表 route config if f0l exit退出接口配置模式 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 第第 5 章章访问列表显示与维护访问列表显示与维护 命令命令描述描述配置模式配置模式 show ipv6 access list access list name 查看访问列表信息enable show ipv6 reflexive list reflex list name 查看自反访问列表信息enable show ipv6 traffic filter interface interface name 查看接口上访问列表绑定enable 查看访问列表信息 用来显示访问列表信息 以及规则的匹配信息 show ipv6 access list access list name 语法语法描述描述 access list name指定要显示的访问列表名称 若不指定访问列表名称 将显示所有配置的访问列表 以下为某系统上配置显示情况 Router show ipv6 access list 显示结果 显示结果 ipv6 access list test rules 8 reference 0 state active default deny nomatch 0 permited 0 addrs 0 denied 0 addrs sequence 10 permit ipv6 30 1 64 any match 0 packets 0 bytes 0 addrs last match 0 state active sequence 20 permit ipv6 20 1 64 any reflect reflist match 0 packets 0 bytes 0 addrs last match 0 state active sequence 30 permit ipv6 10 1 64 any reflect refguest time range worktime match 0 packets 0 bytes 0 addrs last match 0 state active sequence 40 permit ipv6 any 70 1 64 match 0 packets 0 bytes 0 addrs last match 0 state active 此文档收集于网络 如有侵权 请联系网站删除 此文档仅供学习与交流 sequence 50 permit icmp any any nd ns match 0 packets 0 bytes 0 addrs last match 0 state active sequence 60 permit icmp any any nd na match 0 packets