1、IPv6访问列表配置IPv6访问列表配置手册(MP7500E/MP8800/MP8600系列路由器不支持)目录第1章 简介 3第2章 IPv6访问列表简介 4第3章 IPv6访问列表配置描述 5第4章 访问列表配置实例 11第5章 访问列表显示与维护 12第1章 简介本章主要描述实现IPv6安全功能的访问列表(Access Control Lists)控制技术。本章主要内容: 访问列表技术简介 访问列表配置描述 访问列表应用实例 访问列表显示与维护第2章 IPv6访问列表简介访问列表(Access Control Lists),即为一组访问控制规则的表项的集合;作为路由器中的的一个强有力的基础
2、工具,访问列表实现对报文的详细分类,其可用于安全过滤、流量标识、报文标识等。访问列表使用名称来命名,以区分不同的访问列表,每个访问列表由一组按序号(Sequence)标识的访问控制规则组成,每条规则指明将要匹配的报文特征及相应的执行动作(Permit 或 Deny)。执行动作Permit或Deny,其本意为允许或拒绝一个报文的通过,在不同的应用环境下,执行动作与应用相关,一般Permit即接受并处理报文,Deny则丢弃或忽略对报文的处理。IPv6访问列表规则的匹配过程与IPv4访问列表规则的匹配过程相同,它按照列表规则的序号依次来进行匹配:一个报文与一条规则相匹配,则执行此条规则的相应动作,否
3、则报文将继续与下一条规则进行匹配;若所有配置规则都没有匹配发生,则对报文执行默认的动作。第3章 IPv6访问列表配置描述命令描述配置模式ipv6 access-list name配置IPv6访问列表configpermit protocol source-ipv6-prefix/prefix-length | any | host source-ipv6-address operator port-number destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address operator port-nu
4、mber protocol-special-options dscp value flow-label value fragments routing reflect reflext-list-name timeout value time-range time-range-name log log-input sequence sequence-number配置访问列表PERMIT规则config-ipv6-acldeny protocol source-ipv6-prefix/prefix-length | any | host source-ipv6-address operator p
5、ort-number destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address operator port-number protocol-special-options dscp value flow-label value fragments routing time-range time-range-name log log-input sequence sequence-number配置访问列表DENY规则config-ipv6-aclsequence sequence-number eval
6、uate reflex-list-name配置引用自反访问列表规则config-ipv6-aclsequence sequence-number remark remark-line配置访问列表REMARK描述信息config-ipv6-aclipv6 time-range time-range-name access-list access-list-name配置时间域访问列表configipv6 traffic-filter access-list-name in | out在接口下配置应用访问列表config-if-xxx IPv6访问列表的创建与删除配置访问列表,并进入IPv6访问列表
7、配置模式;使用本命令的no形式用来删除一个访问列表。no ipv6 access-list name语法描述name访问列表名称,是最大长度为32字节的可打印字符串 注意: 访问列表名称有效长度为32字节,当输入超过32字节时,将自动截断为32字节。执行ipv6 access-list name命令后,列表并不马上创建,只有当列表中配置了规则或remark信息后,才真正创建列表;当将列表中所有配置规则或remark删除后,列表将自动删除。 访问列表规则的配置配置访问列表的PERMIT、DENY规则,使用命令的no形式删除相应的规则。no permit protocol source-ipv6-
8、prefix/prefix-length | any | host source-ipv6-address operator port-number destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address operator port-number protocol-special-options dscp value flow-label value fragments routing reflect reflext-list-name timeout value time-range time-r
9、ange-name log log-input sequence sequence-numberno deny protocol source-ipv6-prefix/prefix-length | any | host source-ipv6-address operator port-number destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address operator port-number protocol-special-options dscp value flow-label valu
10、e fragments routing time-range time-range-name log log-input sequence sequence-number语法描述permit指定规则匹配后执行permit动作deny指定规则匹配后执行deny动作protocol规则需要匹配的协议名称或协议号source-ipv6-prefix/prefix-lengthdestination-ipv6-prefix/prefix-length用来指定源或目的需要匹配的网络地址范围any用来表示源或目的地址匹配时匹配任何地址,此关键字配置等同于配置地址为 :/ 0host source-ipv6
11、-addresshost destination-ipv6-address用来指定源或目的需要匹配的主机地址operator port-number此选项与协议相关,用来指定需要匹配的端口范围等。operator可以有如下一些值:eq 匹配特定端口的报文neq 匹配特定端口除外的报文gt 匹配端口大于某值的报文lt 匹配端口小于某值的报文range 匹配端口处于某范围的报文wildcard 匹配端口符合某掩码规则的报文protocol-special-options指定协议相关的选项,对tcp,icmp等协议分别有不同的选项dscp value指定匹配特定优先级的报文,优先级值范围 0 63配
12、置时也可以通过名称来指定优先级,一些优先级名称与值之间的对应关系flow-label value指定匹配特定流的报文,流标签的取值范围 0 1048575fragments指定匹配含分片选项报文routing指定匹配含路由选项报文reflect reflex-list-name timeout value指定依据匹配的报文建立相应的自反列表,timeout用来设置建立的相应规则的超时失效时间,自反选项只对pemit规则有效time-range time-range-name指定规则相关的时间域列表,当配置时间域列表后,只在当前时间域有效的时候,规则生效,否则规则不生效log设置规则匹配后记录相
13、应的日志信息log-input设置规则匹配后记录相应的日志信息,并在规则首次匹配时,打印匹配的报文内容信息sequence sequence-number用来设置规则的序号,序号配置范围 1 4294967294访问sequence序号的设置,可以在规则最后来设置,也可以在最前面进行设置,通过序号的方式,可以方便的进行规则的插入等 注:1、 protocol-special-options为协议特定的一些选项,列表如下:协议选项描述TCPack,established,fin,psh,rst,syn,urg可配置匹配TCP协议的特定标志位ICMPicmp-type icmp-code可指定ic
14、mp报文的类型、编码,配置匹配特定的icmp报文type,code可以直接指定相应的编码数值,也可以使用相应的type,code名称,目前可配置名称的type有如下一些:echo-reply,echo-request,mld-done,mld-query,mld-report,nd-na,nd-ns,nd-redirect,packet-too-big,parameter-problem,router-advertisement,router-renumbering,router-solicitation,time-exceeded,unreachable2、 DSCP值与名称的对应关系表(值
15、以二进制形式表示)af11001010af32011100cs3011000af12001100af33011110cs4100000af13001110af41100010cs5101000af21010010af42100100cs6110000af22010100af43100110cs7111000af23010110cs1001000default000000af31011010cs2010000ef1011103、 sequence sequence-number 为每条规则设置一个序号;访问列表中规则的匹配是按序号依次来进行的,通过序号的方式,可以更方便的组织规则。4、 在配置规
16、则时,可以不明确的指定规则sequence序号,此种情况下,将自动加到当前规则列表最后,规则的序号为最后规则的序号加10。 在permit/deny规则配置时,sequence sequence-number命令选项可以放到末尾来进行设置,也可以放到最开始来设置,即permit/deny命令还有如下的形式: no sequence sequence-number permit protocol source-ipv6-prefix/prefix-length | any | host source-ipv6-address operator port-number destination-ip
17、v6-prefix/prefix-length | any | host destination-ipv6-address operator port-number protocol-special-options dscp value flow-label value fragments routing reflect reflext-list-name timeout value time-range time-range-name log log-input no sequence sequence-number deny protocol source-ipv6-prefix/pref
18、ix-length | any | host source-ipv6-address operator port-number destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address operator port-number protocol-special-options dscp value flow-label value fragments routing time-range time-range-name log log-input 在删除一条规则时,可以直接使用规则命令的no形式,也可
19、以直接使用 no sequence sequence-nubmer命令来进行。 自反访问列表规则的配置自反访问列表主要为通过匹配Permit访问规则的报文特征而建立的一组访问规则,它是访问列表的一种扩展功能,主要用来实现类似如下的访问控制:网络A与网络B通过路由器相连接,网络A可以主动的访问网络B,但网络B不能主动的来访问网络A。1、 自反访问列表的建立建立自反访问列表,需要在访问列表规则配置时,在permit规则中通过 reflect reflex-list-name timeout value命令选项来设置。reflex-list-name 即为要创建的自反访问列表名称,当此permit规
20、则被匹配时,则根据相应的匹配报文特征创建列表,创建相应的permit规则;其中timeout 可用来设置创建的此自反规则的超时时间,如果此自反规则在 timeout时间内没有任何匹配,规则将自动删除。2、 自反访问列表的引用通过 evaluate 命令来引用一个自反访问列表,其相应的no命令形式来删除对一个自反访问列表的引用。no sequence sequence-number evaluate reflex-list-name语法描述evaluate命令关键字,用来指示引用一个自反访问列表reflex-list-name指定要引用的自反访问列表名称 注:evaluate规则也有序号标识其在
21、整个访问列表中的位置,规则删除也可以直接使用no sequence sequence-number的形式来进行。 基于时间域的访问列表规则的配置在实际的使用环境中,根据安全控制的需要,可能需要在某一段时间内控制一些通信的进行,在另一段时间控制其他一些通信的进行,对于这种情况,可以使用基于时间域的访问列表。1、 基于时间域的访问规则在配置访问列表规则时,通过在命令选项中加上 time-range time-range-name 来设置规则时间域相关,其中time-range为关键字,time-range-name为时间域名称。时间域相关的访问规则,在当前时间域时间范围有效时,规则生效,即参与匹配
22、,否则规则不生效。2、 基于时间域的访问列表除可以配置规则时间域相关外,也可以通过命令来设置整个访问列表时间域相关。no ipv6 time-range time-range-name access-list access-list-name语法描述time-range-name时间域控制列表名称access-list-name访问列表名称 访问列表信息配置为方便用户,可通过remark命令为访问列表规则设定描述信息sequence sequence-number remark remark-lineno sequence sequence-number remark remark-line语
23、法描述remark关键字,指明设置描述信息remark-line访问列表描述信息;描述信息最长可以设置100字符,超过长度时,将自动截断 应用访问列表配置访问列表作为系统中的一个基础设施,对报文进行分类,可以供其他各功能模块使用,本节主要介绍在接口上应用访问列表实现包过滤的配置描述。使用访问列表实现包过滤应用配置主要有以下步骤:1 创建访问列表2 配置访问列表规则3 在接口上绑定访问列表可以通过以下命令在接口上配置绑定访问列表,使用命令相应的no形式解除绑定。ipv6 traffic-filter access-list-name in | outno ipv6 traffic-filter
24、access-list-name in | out语法描述access-list-name指定接口上要绑定的访问列表名称inout指定访问列表在接口上的绑定方向,即对报文进行入口过滤还是出口过滤 注意: 在接口上绑定访问列表对报文进行过滤时,有如下报文需要注意:IPv6 nd报文完成类似IPv4中ARP功能,在访问列表中若没有明确配置Deny此类nd报文或所有报文时,这些报文将被Permit。用户在配置访问列表接口绑定时,访问列表可以先不存在,此时,过滤并不生效,在之后配置了访问列表后,接口过滤生效。第4章 访问列表配置实例本节将以一个完成的实例,来演示访问列表规则的配置以及接口绑定访问列表实
25、现报文过滤的配置。在如上的一个简单网络中,我们来实现禁止网络中所有地址为IPv6映射地址的报文通过路由器,可以采用如下的步骤来配置。(假定路由器f0接口与图中网络连接) 配置访问列表命令描述router#configure terminal进入全局配置模式route(config)#ipv6 access-list list-test配置访问列表,进入IPv6访问列表配置模式route(config-ipv6-acl)#reamark Disallow mapped addresses, as they shouldnt be on the wire设置remark信息,禁止映射地址报文rou
26、te(config-ipv6-acl)# deny ipv6 from :ffff:0.0.0.0/96 to any禁止源地址为:ffff.0.0.0.0/96的报文通过route(config-ipv6-acl)# deny ipv6 from any to :ffff:0.0.0.0/96禁止目的地址为:ffff.0.0.0.0/96的报文通过route(config-ipv6-acl)#permit ipv6 any any设置默认规则,允许所有报文通过route(config-ipv6-acl)#exit退出访问列表配置模式 接口上绑定访问列表命令描述router#configure
27、 terminal进入全局配置模式route(config)#interface f0进入接口配置模式,配置f0接口route(config-if-f0l)#ipv6 traffic-filter list-test in在接口in方向上绑定访问列表route(config-if-f0l)#exit退出接口配置模式第5章 访问列表显示与维护命令描述配置模式show ipv6 access-list access-list-name查看访问列表信息enableshow ipv6 reflexive-list reflex-list-name查看自反访问列表信息enableshow ipv6 tr
28、affic-filter interface interface-name查看接口上访问列表绑定enable 查看访问列表信息用来显示访问列表信息,以及规则的匹配信息show ipv6 access-list access-list-name语法描述access-list-name指定要显示的访问列表名称,若不指定访问列表名称,将显示所有配置的访问列表以下为某系统上配置显示情况:Router#show ipv6 access-list 显示结果:ipv6 access-list test rules: 8; reference: 0; state: active default: deny;
29、nomatch: 0 permited (0 addrs), 0 denied (0 addrs). sequence 10 permit ipv6 30:1/64 any match: 0 packets, 0 bytes, 0 addrs; last match: 0; state: active sequence 20 permit ipv6 20:1/64 any reflect reflist match: 0 packets, 0 bytes, 0 addrs; last match: 0; state: active sequence 30 permit ipv6 10:1/64
30、 any reflect refguest time-range worktime match: 0 packets, 0 bytes, 0 addrs; last match: 0; state: active sequence 40 permit ipv6 any 70:1/64 match: 0 packets, 0 bytes, 0 addrs; last match: 0; state: active sequence 50 permit icmp any any nd-ns match: 0 packets, 0 bytes, 0 addrs; last match: 0; state: active sequence 60 permit icmp any any nd-na
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1