IPv6访问列表配置.docx
《IPv6访问列表配置.docx》由会员分享,可在线阅读,更多相关《IPv6访问列表配置.docx(13页珍藏版)》请在冰豆网上搜索。
IPv6访问列表配置
IPv6访问列表配置手册
(MP7500E/MP8800/MP8600系列路由器不支持)
目录
第1章简介3
第2章IPv6访问列表简介4
第3章IPv6访问列表配置描述5
第4章访问列表配置实例11
第5章访问列表显示与维护12
第1章简介
本章主要描述实现IPv6安全功能的访问列表(AccessControlLists)控制技术。
本章主要内容:
●访问列表技术简介
●访问列表配置描述
●访问列表应用实例
●访问列表显示与维护
第2章IPv6访问列表简介
访问列表(AccessControlLists),即为一组访问控制规则的表项的集合;作为路由器中的的一个强有力的基础工具,访问列表实现对报文的详细分类,其可用于安全过滤、流量标识、报文标识等。
访问列表使用名称来命名,以区分不同的访问列表,每个访问列表由一组按序号(Sequence)标识的访问控制规则组成,每条规则指明将要匹配的报文特征及相应的执行动作(Permit或Deny)。
执行动作Permit或Deny,其本意为允许或拒绝一个报文的通过,在不同的应用环境下,执行动作与应用相关,一般Permit即接受并处理报文,Deny则丢弃或忽略对报文的处理。
IPv6访问列表规则的匹配过程与IPv4访问列表规则的匹配过程相同,它按照列表规则的序号依次来进行匹配:
一个报文与一条规则相匹配,则执行此条规则的相应动作,否则报文将继续与下一条规则进行匹配;若所有配置规则都没有匹配发生,则对报文执行默认的动作。
第3章IPv6访问列表配置描述
命令
描述
配置模式
ipv6access-listname
配置IPv6访问列表
config
permit{protocol}{source-ipv6-prefix/prefix-length|any|hostsource-ipv6-address}[operator[port-number]]{destination-ipv6-prefix/prefix-length|any|hostdestination-ipv6-address}[operator[port-number]][protocol-special-options][dscpvalue][flow-labelvalue][fragments][routing][reflectreflext-list-name[timeoutvalue]][time-rangetime-range-name][log][log-input][sequencesequence-number]
配置访问列表PERMIT规则
config-ipv6-acl
deny{protocol}{source-ipv6-prefix/prefix-length|any|hostsource-ipv6-address}[operator[port-number]]{destination-ipv6-prefix/prefix-length|any|hostdestination-ipv6-address}[operator[port-number]][protocol-special-options][dscpvalue][flow-labelvalue][fragments][routing][time-rangetime-range-name][log][log-input][sequencesequence-number]
配置访问列表DENY规则
config-ipv6-acl
[sequencesequence-number]evaluatereflex-list-name
配置引用自反访问列表规则
config-ipv6-acl
[sequencesequence-number]remarkremark-line
配置访问列表REMARK描述信息
config-ipv6-acl
ipv6time-rangetime-range-nameaccess-listaccess-list-name
配置时间域访问列表
config
ipv6traffic-filteraccess-list-name{in|out}
在接口下配置应用访问列表
config-if-xxx
⏹IPv6访问列表的创建与删除
配置访问列表,并进入IPv6访问列表配置模式;使用本命令的no形式用来删除一个访问列表。
[no]ipv6access-listname
语法
描述
name
访问列表名称,是最大长度为32字节的可打印字符串
注意:
访问列表名称有效长度为32字节,当输入超过32字节时,将自动截断为32字节。
执行ipv6access-listname命令后,列表并不马上创建,只有当列表中配置了规则或remark信息后,才真正创建列表;当将列表中所有配置规则或remark删除后,列表将自动删除。
⏹访问列表规则的配置
配置访问列表的PERMIT、DENY规则,使用命令的no形式删除相应的规则。
[no]permit{protocol}{source-ipv6-prefix/prefix-length|any|hostsource-ipv6-address}[operator[port-number]]{destination-ipv6-prefix/prefix-length|any|hostdestination-ipv6-address}[operator[port-number]][protocol-special-options][dscpvalue][flow-labelvalue][fragments][routing][reflectreflext-list-name[timeoutvalue]][time-rangetime-range-name][log][log-input][sequencesequence-number]
[no]deny{protocol}{source-ipv6-prefix/prefix-length|any|hostsource-ipv6-address}[operator[port-number]]{destination-ipv6-prefix/prefix-length|any|hostdestination-ipv6-address}[operator[port-number]][protocol-special-options][dscpvalue][flow-labelvalue][fragments][routing][time-rangetime-range-name][log][log-input][sequencesequence-number]
语法
描述
permit
指定规则匹配后执行permit动作
deny
指定规则匹配后执行deny动作
protocol
规则需要匹配的协议名称或协议号
source-ipv6-prefix/prefix-length
destination-ipv6-prefix/prefix-length
用来指定源或目的需要匹配的网络地址范围
any
用来表示源或目的地址匹配时匹配任何地址,此关键字配置等同于配置地址为:
:
/0
hostsource-ipv6-address
hostdestination-ipv6-address
用来指定源或目的需要匹配的主机地址
operator[port-number]
此选项与协议相关,用来指定需要匹配的端口范围等。
operator可以有如下一些值:
eq匹配特定端口的报文
neq匹配特定端口除外的报文
gt匹配端口大于某值的报文
lt匹配端口小于某值的报文
range匹配端口处于某范围的报文
wildcard匹配端口符合某掩码规则的报文
protocol-special-options
指定协议相关的选项,对tcp,icmp等协议分别有不同的选项
dscpvalue
指定匹配特定优先级的报文,优先级值范围0~63
配置时也可以通过名称来指定优先级,一些优先级名称与值之间的对应关系
flow-labelvalue
指定匹配特定流的报文,流标签的取值范围0~1048575
fragments
指定匹配含分片选项报文
routing
指定匹配含路由选项报文
reflectreflex-list-name[timeoutvalue]
指定依据匹配的报文建立相应的自反列表,timeout用来设置建立的相应规则的超时失效时间,自反选项只对pemit规则有效
time-rangetime-range-name
指定规则相关的时间域列表,当配置时间域列表后,只在当前时间域有效的时候,规则生效,否则规则不生效
log
设置规则匹配后记录相应的日志信息
log-input
设置规则匹配后记录相应的日志信息,并在规则首次匹配时,打印匹配的报文内容信息
sequencesequence-number
用来设置规则的序号,序号配置范围1~4294967294
访问sequence序号的设置,可以在规则最后来设置,也可以在最前面进行设置,通过序号的方式,可以方便的进行规则的插入等
注:
1、protocol-special-options为协议特定的一些选项,列表如下:
协议
选项
描述
TCP
ack,established,fin,psh,rst,syn,urg
可配置匹配TCP协议的特定标志位
ICMP
icmp-type[icmp-code]
可指定icmp报文的类型、编码,配置匹配特定的icmp报文
type,code可以直接指定相应的编码数值,也可以使用相应的type,code名称,目前可配置名称的type有如下一些:
echo-reply,echo-request,mld-done,mld-query,mld-report,nd-na,nd-ns,nd-redirect,packet-too-big,parameter-problem,router-advertisement,router-renumbering,router-solicitation,time-exceeded,unreachable
2、DSCP值与名称的对应关系表(值以二进制形式表示)
af11
001010
af32
011100
cs3
011000
af12
001100
af33
011110
cs4
100000
af13
001110
af41
100010
cs5
101000
af21
010010
af42
100100
cs6
110000
af22
010100
af43
100110
cs7
111000
af23
010110
cs1
001000
default
000000
af31
011010
cs2
010000
ef
101110
3、sequencesequence-number为每条规则设置一个序号;访问列表中规则的匹配是按序号依次来进行的,通过序号的方式,可以更方便的组织规则。
4、在配置规则时,可以不明确的指定规则sequence序号,此种情况下,将自动加到当前规则列表最后,规则的序号为最后规则的序号加10。
在permit/deny规则配置时,sequencesequence-number命令选项可以放到末尾来进行设置,也可以放到最开始来设置,即permit/deny命令还有如下的形式:
[no]sequencesequence-numberpermit{protocol}{source-ipv6-prefix/prefix-length|any|hostsource-ipv6-address}[operator[port-number]]{destination-ipv6-prefix/prefix-length|any|hostdestination-ipv6-address}[operator[port-number]][protocol-special-options][dscpvalue][flow-labelvalue][fragments][routing][reflectreflext-list-name[timeoutvalue]][time-rangetime-range-name][log][log-input]
[no]sequencesequence-numberdeny{protocol}{source-ipv6-prefix/prefix-length|any|hostsource-ipv6-address}[operator[port-number]]{destination-ipv6-prefix/prefix-length|any|hostdestination-ipv6-address}[operator[port-number]][protocol-special-options][dscpvalue][flow-labelvalue][fragments][routing][time-rangetime-range-name][log][log-input]
在删除一条规则时,可以直接使用规则命令的no形式,也可以直接使用nosequencesequence-nubmer命令来进行。
⏹自反访问列表规则的配置
自反访问列表主要为通过匹配Permit访问规则的报文特征而建立的一组访问规则,它是访问列表的一种扩展功能,主要用来实现类似如下的访问控制:
网络A与网络B通过路由器相连接,网络A可以主动的访问网络B,但网络B不能主动的来访问网络A。
1、自反访问列表的建立
建立自反访问列表,需要在访问列表规则配置时,在permit规则中通过reflectreflex-list-name[timeoutvalue]命令选项来设置。
reflex-list-name即为要创建的自反访问列表名称,当此permit规则被匹配时,则根据相应的匹配报文特征创建列表,创建相应的permit规则;其中timeout可用来设置创建的此自反规则的超时时间,如果此自反规则在timeout时间内没有任何匹配,规则将自动删除。
2、自反访问列表的引用
通过evaluate命令来引用一个自反访问列表,其相应的no命令形式来删除对一个自反访问列表的引用。
[no][sequencesequence-number]evaluatereflex-list-name
语法
描述
evaluate
命令关键字,用来指示引用一个自反访问列表
reflex-list-name
指定要引用的自反访问列表名称
注:
evaluate规则也有序号标识其在整个访问列表中的位置,规则删除也可以直接使用nosequencesequence-number的形式来进行。
⏹基于时间域的访问列表规则的配置
在实际的使用环境中,根据安全控制的需要,可能需要在某一段时间内控制一些通信的进行,在另一段时间控制其他一些通信的进行,对于这种情况,可以使用基于时间域的访问列表。
1、基于时间域的访问规则
在配置访问列表规则时,通过在命令选项中加上time-rangetime-range-name来设置规则时间域相关,其中time-range为关键字,time-range-name为时间域名称。
时间域相关的访问规则,在当前时间域时间范围有效时,规则生效,即参与匹配,否则规则不生效。
2、基于时间域的访问列表
除可以配置规则时间域相关外,也可以通过命令来设置整个访问列表时间域相关。
[no]ipv6time-rangetime-range-nameaccess-listaccess-list-name
语法
描述
time-range-name
时间域控制列表名称
access-list-name
访问列表名称
⏹访问列表REMARK信息配置
为方便用户,可通过remark命令为访问列表规则设定描述信息
[sequencesequence-number]remarkremark-line
no[sequencesequence-number]remarkremark-line
语法
描述
remark
关键字,指明设置描述信息
remark-line
访问列表描述信息;描述信息最长可以设置100字符,超过长度时,将自动截断
⏹应用访问列表配置
访问列表作为系统中的一个基础设施,对报文进行分类,可以供其他各功能模块使用,本节主要介绍在接口上应用访问列表实现包过滤的配置描述。
使用访问列表实现包过滤应用配置主要有以下步骤:
1.创建访问列表
2.配置访问列表规则
3.在接口上绑定访问列表
可以通过以下命令在接口上配置绑定访问列表,使用命令相应的no形式解除绑定。
ipv6traffic-filteraccess-list-name{in|out}
noipv6traffic-filteraccess-list-name{in|out}
语法
描述
access-list-name
指定接口上要绑定的访问列表名称
in
out
指定访问列表在接口上的绑定方向,即对报文进行入口过滤还是出口过滤
注意:
在接口上绑定访问列表对报文进行过滤时,有如下报文需要注意:
IPv6nd报文完成类似IPv4中ARP功能,在访问列表中若没有明确配置Deny此类nd报文或所有报文时,这些报文将被Permit。
用户在配置访问列表接口绑定时,访问列表可以先不存在,此时,过滤并不生效,在之后配置了访问列表后,接口过滤生效。
第4章访问列表配置实例
本节将以一个完成的实例,来演示访问列表规则的配置以及接口绑定访问列表实现报文过滤的配置。
在如上的一个简单网络中,我们来实现禁止网络中所有地址为IPv6映射地址的报文通过路由器,可以采用如下的步骤来配置。
(假定路由器f0接口与图中网络连接)
⏹配置访问列表
命令
描述
router#configureterminal
进入全局配置模式
route(config)#ipv6access-listlist-test
配置访问列表,进入IPv6访问列表配置模式
route(config-ipv6-acl)#reamarkDisallowmappedaddresses,astheyshouldn'tbeonthewire
设置remark信息,禁止映射地址报文
route(config-ipv6-acl)#denyipv6from:
:
ffff:
0.0.0.0/96toany
禁止源地址为:
:
ffff.0.0.0.0/96的报文通过
route(config-ipv6-acl)#denyipv6fromanyto:
:
ffff:
0.0.0.0/96
禁止目的地址为:
:
ffff.0.0.0.0/96的报文通过
route(config-ipv6-acl)#permitipv6anyany
设置默认规则,允许所有报文通过
route(config-ipv6-acl)#exit
退出访问列表配置模式
⏹接口上绑定访问列表
命令
描述
router#configureterminal
进入全局配置模式
route(config)#interfacef0
进入接口配置模式,配置f0接口
route(config-if-f0l)#ipv6traffic-filterlist-testin
在接口in方向上绑定访问列表
route(config-if-f0l)#exit
退出接口配置模式
第5章访问列表显示与维护
命令
描述
配置模式
showipv6access-list[access-list-name]
查看访问列表信息
enable
showipv6reflexive-list[reflex-list-name]
查看自反访问列表信息
enable
showipv6traffic-filterinterface[interface-name]
查看接口上访问列表绑定
enable
⏹查看访问列表信息
用来显示访问列表信息,以及规则的匹配信息
showipv6access-list[access-list-name]
语法
描述
access-list-name
指定要显示的访问列表名称,若不指定访问列表名称,将显示所有配置的访问列表
以下为某系统上配置显示情况:
Router#showipv6access-list
显示结果:
ipv6access-listtest
rules:
8;reference:
0;state:
active
default:
deny;nomatch:
0permited(0addrs),0denied(0addrs).
sequence10permitipv630:
:
1/64any
match:
0packets,0bytes,0addrs;lastmatch:
0;state:
active
sequence20permitipv620:
:
1/64anyreflectreflist
match:
0packets,0bytes,0addrs;lastmatch:
0;state:
active
sequence30permitipv610:
:
1/64anyreflectrefguesttime-rangeworktime
match:
0packets,0bytes,0addrs;lastmatch:
0;state:
active
sequence40permitipv6any70:
:
1/64
match:
0packets,0bytes,0addrs;lastmatch:
0;state:
active
sequence50permiticmpanyanynd-ns
match:
0packets,0bytes,0addrs;lastmatch:
0;state:
active
sequence60permiticmpanyanynd-na