IPv6访问列表配置.docx

IPv6访问列表配置.docx

《IPv6访问列表配置.docx》由会员分享，可在线阅读，更多相关《IPv6访问列表配置.docx（13页珍藏版）》请在冰豆网上搜索。

IPv6访问列表配置

IPv6访问列表配置手册

（MP7500E/MP8800/MP8600系列路由器不支持）

目录

第1章简介3

第2章IPv6访问列表简介4

第3章IPv6访问列表配置描述5

第4章访问列表配置实例11

第5章访问列表显示与维护12

第1章简介

本章主要描述实现IPv6安全功能的访问列表（AccessControlLists）控制技术。

本章主要内容：

●访问列表技术简介

●访问列表配置描述

●访问列表应用实例

●访问列表显示与维护

第2章IPv6访问列表简介

访问列表（AccessControlLists），即为一组访问控制规则的表项的集合；作为路由器中的的一个强有力的基础工具，访问列表实现对报文的详细分类，其可用于安全过滤、流量标识、报文标识等。

访问列表使用名称来命名，以区分不同的访问列表，每个访问列表由一组按序号（Sequence）标识的访问控制规则组成，每条规则指明将要匹配的报文特征及相应的执行动作（Permit或Deny）。

执行动作Permit或Deny，其本意为允许或拒绝一个报文的通过，在不同的应用环境下，执行动作与应用相关，一般Permit即接受并处理报文，Deny则丢弃或忽略对报文的处理。

IPv6访问列表规则的匹配过程与IPv4访问列表规则的匹配过程相同，它按照列表规则的序号依次来进行匹配：

一个报文与一条规则相匹配，则执行此条规则的相应动作，否则报文将继续与下一条规则进行匹配；若所有配置规则都没有匹配发生，则对报文执行默认的动作。

第3章IPv6访问列表配置描述

命令

描述

配置模式

ipv6access-listname

配置IPv6访问列表

config

permit{protocol}{source-ipv6-prefix/prefix-length|any|hostsource-ipv6-address}[operator[port-number]]{destination-ipv6-prefix/prefix-length|any|hostdestination-ipv6-address}[operator[port-number]][protocol-special-options][dscpvalue][flow-labelvalue][fragments][routing][reflectreflext-list-name[timeoutvalue]][time-rangetime-range-name][log][log-input][sequencesequence-number]

配置访问列表PERMIT规则

config-ipv6-acl

deny{protocol}{source-ipv6-prefix/prefix-length|any|hostsource-ipv6-address}[operator[port-number]]{destination-ipv6-prefix/prefix-length|any|hostdestination-ipv6-address}[operator[port-number]][protocol-special-options][dscpvalue][flow-labelvalue][fragments][routing][time-rangetime-range-name][log][log-input][sequencesequence-number]

配置访问列表DENY规则

config-ipv6-acl

[sequencesequence-number]evaluatereflex-list-name

配置引用自反访问列表规则

config-ipv6-acl

[sequencesequence-number]remarkremark-line

配置访问列表REMARK描述信息

config-ipv6-acl

ipv6time-rangetime-range-nameaccess-listaccess-list-name

配置时间域访问列表

config

ipv6traffic-filteraccess-list-name{in|out}

在接口下配置应用访问列表

config-if-xxx

⏹IPv6访问列表的创建与删除

配置访问列表，并进入IPv6访问列表配置模式；使用本命令的no形式用来删除一个访问列表。

[no]ipv6access-listname

语法

描述

name

访问列表名称，是最大长度为32字节的可打印字符串

注意：

访问列表名称有效长度为32字节，当输入超过32字节时，将自动截断为32字节。

执行ipv6access-listname命令后，列表并不马上创建，只有当列表中配置了规则或remark信息后，才真正创建列表；当将列表中所有配置规则或remark删除后，列表将自动删除。

⏹访问列表规则的配置

配置访问列表的PERMIT、DENY规则，使用命令的no形式删除相应的规则。

[no]permit{protocol}{source-ipv6-prefix/prefix-length|any|hostsource-ipv6-address}[operator[port-number]]{destination-ipv6-prefix/prefix-length|any|hostdestination-ipv6-address}[operator[port-number]][protocol-special-options][dscpvalue][flow-labelvalue][fragments][routing][reflectreflext-list-name[timeoutvalue]][time-rangetime-range-name][log][log-input][sequencesequence-number]

[no]deny{protocol}{source-ipv6-prefix/prefix-length|any|hostsource-ipv6-address}[operator[port-number]]{destination-ipv6-prefix/prefix-length|any|hostdestination-ipv6-address}[operator[port-number]][protocol-special-options][dscpvalue][flow-labelvalue][fragments][routing][time-rangetime-range-name][log][log-input][sequencesequence-number]

语法

描述

permit

指定规则匹配后执行permit动作

deny

指定规则匹配后执行deny动作

protocol

规则需要匹配的协议名称或协议号

source-ipv6-prefix/prefix-length

destination-ipv6-prefix/prefix-length

用来指定源或目的需要匹配的网络地址范围

any

用来表示源或目的地址匹配时匹配任何地址，此关键字配置等同于配置地址为：

：

/0

hostsource-ipv6-address

hostdestination-ipv6-address

用来指定源或目的需要匹配的主机地址

operator[port-number]

此选项与协议相关，用来指定需要匹配的端口范围等。

operator可以有如下一些值：

eq匹配特定端口的报文

neq匹配特定端口除外的报文

gt匹配端口大于某值的报文

lt匹配端口小于某值的报文

range匹配端口处于某范围的报文

wildcard匹配端口符合某掩码规则的报文

protocol-special-options

指定协议相关的选项，对tcp，icmp等协议分别有不同的选项

dscpvalue

指定匹配特定优先级的报文，优先级值范围0~63

配置时也可以通过名称来指定优先级，一些优先级名称与值之间的对应关系

flow-labelvalue

指定匹配特定流的报文，流标签的取值范围0~1048575

fragments

指定匹配含分片选项报文

routing

指定匹配含路由选项报文

reflectreflex-list-name[timeoutvalue]

指定依据匹配的报文建立相应的自反列表，timeout用来设置建立的相应规则的超时失效时间，自反选项只对pemit规则有效

time-rangetime-range-name

指定规则相关的时间域列表，当配置时间域列表后，只在当前时间域有效的时候，规则生效，否则规则不生效

log

设置规则匹配后记录相应的日志信息

log-input

设置规则匹配后记录相应的日志信息，并在规则首次匹配时，打印匹配的报文内容信息

sequencesequence-number

用来设置规则的序号，序号配置范围1~4294967294

访问sequence序号的设置，可以在规则最后来设置，也可以在最前面进行设置，通过序号的方式，可以方便的进行规则的插入等

注：

1、protocol-special-options为协议特定的一些选项，列表如下：

协议

选项

描述

TCP

ack，established，fin，psh，rst，syn，urg

可配置匹配TCP协议的特定标志位

ICMP

icmp-type[icmp-code]

可指定icmp报文的类型、编码，配置匹配特定的icmp报文

type，code可以直接指定相应的编码数值，也可以使用相应的type，code名称，目前可配置名称的type有如下一些：

echo-reply，echo-request，mld-done，mld-query，mld-report，nd-na，nd-ns，nd-redirect，packet-too-big，parameter-problem，router-advertisement，router-renumbering，router-solicitation，time-exceeded，unreachable

2、DSCP值与名称的对应关系表（值以二进制形式表示）

af11

001010

af32

011100

cs3

011000

af12

001100

af33

011110

cs4

100000

af13

001110

af41

100010

cs5

101000

af21

010010

af42

100100

cs6

110000

af22

010100

af43

100110

cs7

111000

af23

010110

cs1

001000

default

000000

af31

011010

cs2

010000

ef

101110

3、sequencesequence-number为每条规则设置一个序号；访问列表中规则的匹配是按序号依次来进行的，通过序号的方式，可以更方便的组织规则。

4、在配置规则时，可以不明确的指定规则sequence序号，此种情况下，将自动加到当前规则列表最后，规则的序号为最后规则的序号加10。

在permit/deny规则配置时，sequencesequence-number命令选项可以放到末尾来进行设置，也可以放到最开始来设置，即permit/deny命令还有如下的形式：

[no]sequencesequence-numberpermit{protocol}{source-ipv6-prefix/prefix-length|any|hostsource-ipv6-address}[operator[port-number]]{destination-ipv6-prefix/prefix-length|any|hostdestination-ipv6-address}[operator[port-number]][protocol-special-options][dscpvalue][flow-labelvalue][fragments][routing][reflectreflext-list-name[timeoutvalue]][time-rangetime-range-name][log][log-input]

[no]sequencesequence-numberdeny{protocol}{source-ipv6-prefix/prefix-length|any|hostsource-ipv6-address}[operator[port-number]]{destination-ipv6-prefix/prefix-length|any|hostdestination-ipv6-address}[operator[port-number]][protocol-special-options][dscpvalue][flow-labelvalue][fragments][routing][time-rangetime-range-name][log][log-input]

在删除一条规则时，可以直接使用规则命令的no形式，也可以直接使用nosequencesequence-nubmer命令来进行。

⏹自反访问列表规则的配置

自反访问列表主要为通过匹配Permit访问规则的报文特征而建立的一组访问规则，它是访问列表的一种扩展功能，主要用来实现类似如下的访问控制：

网络A与网络B通过路由器相连接，网络A可以主动的访问网络B，但网络B不能主动的来访问网络A。

1、自反访问列表的建立

建立自反访问列表，需要在访问列表规则配置时，在permit规则中通过reflectreflex-list-name[timeoutvalue]命令选项来设置。

reflex-list-name即为要创建的自反访问列表名称，当此permit规则被匹配时，则根据相应的匹配报文特征创建列表，创建相应的permit规则；其中timeout可用来设置创建的此自反规则的超时时间，如果此自反规则在timeout时间内没有任何匹配，规则将自动删除。

2、自反访问列表的引用

通过evaluate命令来引用一个自反访问列表，其相应的no命令形式来删除对一个自反访问列表的引用。

[no][sequencesequence-number]evaluatereflex-list-name

语法

描述

evaluate

命令关键字，用来指示引用一个自反访问列表

reflex-list-name

指定要引用的自反访问列表名称

注：

evaluate规则也有序号标识其在整个访问列表中的位置，规则删除也可以直接使用nosequencesequence-number的形式来进行。

⏹基于时间域的访问列表规则的配置

在实际的使用环境中，根据安全控制的需要，可能需要在某一段时间内控制一些通信的进行，在另一段时间控制其他一些通信的进行，对于这种情况，可以使用基于时间域的访问列表。

1、基于时间域的访问规则

在配置访问列表规则时，通过在命令选项中加上time-rangetime-range-name来设置规则时间域相关，其中time-range为关键字，time-range-name为时间域名称。

时间域相关的访问规则，在当前时间域时间范围有效时，规则生效，即参与匹配，否则规则不生效。

2、基于时间域的访问列表

除可以配置规则时间域相关外，也可以通过命令来设置整个访问列表时间域相关。

[no]ipv6time-rangetime-range-nameaccess-listaccess-list-name

语法

描述

time-range-name

时间域控制列表名称

access-list-name

访问列表名称

⏹访问列表ＲＥＭＡＲＫ信息配置

为方便用户，可通过remark命令为访问列表规则设定描述信息

[sequencesequence-number]remarkremark-line

no[sequencesequence-number]remarkremark-line

语法

描述

remark

关键字，指明设置描述信息

remark-line

访问列表描述信息；描述信息最长可以设置100字符，超过长度时，将自动截断

⏹应用访问列表配置

访问列表作为系统中的一个基础设施，对报文进行分类，可以供其他各功能模块使用，本节主要介绍在接口上应用访问列表实现包过滤的配置描述。

使用访问列表实现包过滤应用配置主要有以下步骤：

1．创建访问列表

2．配置访问列表规则

3．在接口上绑定访问列表

可以通过以下命令在接口上配置绑定访问列表，使用命令相应的no形式解除绑定。

ipv6traffic-filteraccess-list-name{in|out}

noipv6traffic-filteraccess-list-name{in|out}

语法

描述

access-list-name

指定接口上要绑定的访问列表名称

in

out

指定访问列表在接口上的绑定方向，即对报文进行入口过滤还是出口过滤

注意：

在接口上绑定访问列表对报文进行过滤时，有如下报文需要注意：

IPv6nd报文完成类似IPv4中ARP功能，在访问列表中若没有明确配置Deny此类nd报文或所有报文时，这些报文将被Permit。

用户在配置访问列表接口绑定时，访问列表可以先不存在，此时，过滤并不生效，在之后配置了访问列表后，接口过滤生效。

第4章访问列表配置实例

本节将以一个完成的实例，来演示访问列表规则的配置以及接口绑定访问列表实现报文过滤的配置。

在如上的一个简单网络中，我们来实现禁止网络中所有地址为IPv6映射地址的报文通过路由器，可以采用如下的步骤来配置。

（假定路由器f0接口与图中网络连接）

⏹配置访问列表

命令

描述

router#configureterminal

进入全局配置模式

route（config）#ipv6access-listlist-test

配置访问列表，进入IPv6访问列表配置模式

route（config-ipv6-acl）#reamarkDisallowmappedaddresses,astheyshouldn'tbeonthewire

设置remark信息，禁止映射地址报文

route（config-ipv6-acl）#denyipv6from:

:

ffff:

0.0.0.0/96toany

禁止源地址为:

:

ffff.0.0.0.0/96的报文通过

route（config-ipv6-acl）#denyipv6fromanyto:

:

ffff:

0.0.0.0/96

禁止目的地址为:

:

ffff.0.0.0.0/96的报文通过

route（config-ipv6-acl）#permitipv6anyany

设置默认规则，允许所有报文通过

route（config-ipv6-acl）#exit

退出访问列表配置模式

⏹接口上绑定访问列表

命令

描述

router#configureterminal

进入全局配置模式

route（config）#interfacef0

进入接口配置模式，配置f0接口

route（config-if-f0l）#ipv6traffic-filterlist-testin

在接口in方向上绑定访问列表

route（config-if-f0l）#exit

退出接口配置模式

第5章访问列表显示与维护

命令

描述

配置模式

showipv6access-list[access-list-name]

查看访问列表信息

enable

showipv6reflexive-list[reflex-list-name]

查看自反访问列表信息

enable

showipv6traffic-filterinterface[interface-name]

查看接口上访问列表绑定

enable

⏹查看访问列表信息

用来显示访问列表信息，以及规则的匹配信息

showipv6access-list[access-list-name]

语法

描述

access-list-name

指定要显示的访问列表名称，若不指定访问列表名称，将显示所有配置的访问列表

以下为某系统上配置显示情况：

Router#showipv6access-list

显示结果：

ipv6access-listtest

rules:

8;reference:

0;state:

active

default:

deny;nomatch:

0permited（0addrs）,0denied（0addrs）.

sequence10permitipv630:

:

1/64any

match:

0packets,0bytes,0addrs;lastmatch:

0;state:

active

sequence20permitipv620:

:

1/64anyreflectreflist

match:

0packets,0bytes,0addrs;lastmatch:

0;state:

active

sequence30permitipv610:

:

1/64anyreflectrefguesttime-rangeworktime

match:

0packets,0bytes,0addrs;lastmatch:

0;state:

active

sequence40permitipv6any70:

:

1/64

match:

0packets,0bytes,0addrs;lastmatch:

0;state:

active

sequence50permiticmpanyanynd-ns

match:

0packets,0bytes,0addrs;lastmatch:

0;state:

active

sequence60permiticmpanyanynd-na