IPv6訪問列表配置手冊

1、版權(quán)所有2011，邁普通信技術(shù)股份有限公司，保留所有權(quán)利 ipv6 訪問列表配置手冊訪問列表配置手冊 版權(quán)所有2011，邁普通信技術(shù)股份有限公司，保留所有權(quán)利 目錄目錄 第第 1 章章簡介簡介.1 第第 2 章章ipv6 訪問列表簡介訪問列表簡介.2 第第 3 章章ipv6 訪問列表配置描述訪問列表配置描述.3 第第 4 章章訪問列表配置實例訪問列表配置實例.11 第第 5 章章訪問列表顯示與維護訪問列表顯示與維護.13 版權(quán)所有2011，邁普通信技術(shù)股份有限公司，保留所有權(quán)利 第第 1 章章簡介簡介 本章主要描述實現(xiàn) ipv6 安全功能的訪問列表（access control lists）控

2、制技術(shù)。 本章主要內(nèi)容： 訪問列表技術(shù)簡介 訪問列表配置描述 訪問列表應(yīng)用實例 訪問列表顯示與維護 版權(quán)所有2011，邁普通信技術(shù)股份有限公司，保留所有權(quán)利 第第 2 章章ipv6 訪問列表簡介訪問列表簡介 訪問列表（access control lists） ，即為一組訪問控制規(guī)則的表項的集合；作為路由器中的的一個強有 力的基礎(chǔ)工具，訪問列表實現(xiàn)對報文的詳細分類，其可用于安全過濾、流量標識、報文標識等。 訪問列表使用名稱來命名，以區(qū)分不同的訪問列表，每個訪問列表由一組按序號（sequence）標識的 訪問控制規(guī)則組成，每條規(guī)則指明將要匹配的報文特征及相應(yīng)的執(zhí)行動作（permit 或 deny

3、） 。執(zhí)行動作 permit 或 deny，其本意為允許或拒絕一個報文的通過，在不同的應(yīng)用環(huán)境下，執(zhí)行動作與應(yīng)用相關(guān)，一 般 permit 即接受并處理報文，deny 則丟棄或忽略對報文的處理。 ipv6 訪問列表規(guī)則的匹配過程與 ipv4 訪問列表規(guī)則的匹配過程相同，它按照列表規(guī)則的序號依次來 進行匹配：一個報文與一條規(guī)則相匹配，則執(zhí)行此條規(guī)則的相應(yīng)動作，否則報文將繼續(xù)與下一條規(guī)則進 行匹配；若所有配置規(guī)則都沒有匹配發(fā)生，則對報文執(zhí)行默認的動作。 版權(quán)所有2011，邁普通信技術(shù)股份有限公司，保留所有權(quán)利 第第 3 章章ipv6 訪問列表配置描述訪問列表配置描述 命令命令描述描述配置模式配置模

4、式 ipv6 access-list name配置 ipv6 訪問列表config permit protocol source-ipv6- prefix/prefix-length | any | host source-ipv6- address operator port-number destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address operator port-number protocol-special-options dscp value flow-label value fra

5、gments routing reflect reflext-list-name timeout value time-range time-range-name log log-input sequence sequence-number 配置訪問列表 permit 規(guī)則config-ipv6-acl deny protocol source-ipv6-prefix/prefix- length | any | host source-ipv6-address operator port-number destination-ipv6- prefix/prefix-length | any

6、| host destination- ipv6-address operator port-number protocol-special-options dscp value flow-label value fragments routing time-range time-range-name log log- input sequence sequence-number 配置訪問列表 deny 規(guī)則config-ipv6-acl sequence sequence-number evaluate reflex-list-name 配置引用自反訪問列表規(guī)則config-ipv6-acl

7、 sequence sequence-number remark remark-line 配置訪問列表 remark 描述 信息 config-ipv6-acl ipv6 time-range time-range-name access- list access-list-name 配置時間域訪問列表config ipv6 traffic-filter access-list-name in | out 在接口下配置應(yīng)用訪問列表config-if-xxx ipv6 訪問列表的創(chuàng)建與刪除訪問列表的創(chuàng)建與刪除 版權(quán)所有2011，邁普通信技術(shù)股份有限公司，保留所有權(quán)利 配置訪問列表，并進入 ipv

8、6 訪問列表配置模式；使用本命令的 no 形式用來刪除一個訪問列表。 no ipv6 access-list name 語法語法描述描述 name訪問列表名稱，是最大長度為 32 字節(jié)的可打印字符 串 注意：注意： 訪問列表名稱有效長度為 32 字節(jié)，當輸入超過 32 字節(jié)時，將自動截斷為 32 字節(jié)。 執(zhí)行 ipv6 access-list name命令后，列表并不馬上創(chuàng)建，只有當列表中配置了規(guī)則或 remark 信息 后，才真正創(chuàng)建列表；當將列表中所有配置規(guī)則或 remark 刪除后，列表將自動刪除。 訪問列表規(guī)則的配置訪問列表規(guī)則的配置 配置訪問列表的 permit、deny 規(guī)則，使用

9、命令的 no 形式刪除相應(yīng)的規(guī)則。 no permit protocol source-ipv6-prefix/prefix-length | any | host source-ipv6-address operator port- number destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address operator port-number protocol-special-options dscp value flow-label value fragments routing reflect

10、 reflext-list-name timeout value time-range time-range-name log log-input sequence sequence-number no deny protocol source-ipv6-prefix/prefix-length | any | host source-ipv6-address operator port- number destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address operator port-number

11、 protocol-special-options dscp value flow-label value fragments routing time-range time-range-name log log-input sequence sequence-number 語法語法描述描述 permit指定規(guī)則匹配后執(zhí)行 permit 動作 deny指定規(guī)則匹配后執(zhí)行 deny 動作 protocol規(guī)則需要匹配的協(xié)議名稱或協(xié)議號 source-ipv6-prefix/prefix-length destination-ipv6-prefix/prefix-length 用來指定源或目的需要

12、匹配的網(wǎng)絡(luò)地址范圍 any用來表示源或目的地址匹配時匹配任何地址，此關(guān) 鍵字配置等同于配置地址為 ：/ 0 版權(quán)所有2011，邁普通信技術(shù)股份有限公司，保留所有權(quán)利 host source-ipv6-address host destination-ipv6-address 用來指定源或目的需要匹配的主機地址 operator port-number此選項與協(xié)議相關(guān)，用來指定需要匹配的端口范圍 等。 operator 可以有如下一些值： eq 匹配特定端口的報文 neq 匹配特定端口除外的報文 gt 匹配端口大于某值的報文 lt 匹配端口小于某值的報文 range 匹配端口處于某范圍的報文 w

13、ildcard 匹配端口符合某掩碼規(guī)則的報文 protocol-special-options指定協(xié)議相關(guān)的選項，對 tcp，icmp 等協(xié)議分別有 不同的選項 dscp value指定匹配特定優(yōu)先級的報文，優(yōu)先級值范圍 0 63 配置時也可以通過名稱來指定優(yōu)先級，一些優(yōu)先級 名稱與值之間的對應(yīng)關(guān)系 flow-label value指定匹配特定流的報文，流標簽的取值范圍 0 1048575 fragments指定匹配含分片選項報文 routing指定匹配含路由選項報文 reflect reflex-list-name timeout value指定依據(jù)匹配的報文建立相應(yīng)的自反列表，timeou

14、t 用來設(shè)置建立的相應(yīng)規(guī)則的超時失效時間，自反選 項只對 pemit 規(guī)則有效 time-range time-range-name指定規(guī)則相關(guān)的時間域列表，當配置時間域列表后， 只在當前時間域有效的時候，規(guī)則生效，否則規(guī)則 不生效 log設(shè)置規(guī)則匹配后記錄相應(yīng)的日志信息 log-input設(shè)置規(guī)則匹配后記錄相應(yīng)的日志信息，并在規(guī)則首 次匹配時，打印匹配的報文內(nèi)容信息 版權(quán)所有2011，邁普通信技術(shù)股份有限公司，保留所有權(quán)利 sequence sequence-number用來設(shè)置規(guī)則的序號，序號配置范圍 1 4294967294 訪問 sequence 序號的設(shè)置，可以在規(guī)則最后來設(shè)置， 也

15、可以在最前面進行設(shè)置，通過序號的方式，可以 方便的進行規(guī)則的插入等 注：注： 1、 protocol-special-options 為協(xié)議特定的一些選項，列表如下： 協(xié)議協(xié)議選項選項描述描述 tcpack，established，fin ，psh，rst，syn，ur g 可配置匹配 tcp 協(xié)議的特定標志位 icmpicmp-type icmp- code 可指定 icmp 報文的類型、編碼，配置匹配特定的 icmp 報文 type，code 可以直接指定相應(yīng)的編碼數(shù)值，也可以使用 相應(yīng)的 type，code 名稱，目前可配置名稱的 type 有如下 一些： echo-reply，echo

16、-request，mld-done，mld-query，mld- report，nd-na，nd-ns，nd-redirect，packet-too- big，parameter-problem，router-advertisement，router- renumbering，router-solicitation，time- exceeded，unreachable 2、 dscp 值與名稱的對應(yīng)關(guān)系表（值以二進制形式表示） af11001010af32011100cs3011000 af12001100af33011110cs4100000 af13001110af41100010cs51

17、01000 af21010010af42100100 cs6110000 af22010100af43 100110cs7111000 af23010110 cs1001000default000000 af31011010 cs2010000ef101110 版權(quán)所有2011，邁普通信技術(shù)股份有限公司，保留所有權(quán)利 3、 sequence sequence-number 為每條規(guī)則設(shè)置一個序號；訪問列表中規(guī)則的匹配是按序號依次來 進行的，通過序號的方式，可以更方便的組織規(guī)則。 4、 在配置規(guī)則時，可以不明確的指定規(guī)則 sequence 序號，此種情況下，將自動加到當前規(guī)則列表 最后，規(guī)則的序

18、號為最后規(guī)則的序號加 10。 在 permit/deny 規(guī)則配置時，sequence sequence-number 命令選項可以放到末尾來進行設(shè)置， 也可以放到最開始來設(shè)置，即 permit/deny 命令還有如下的形式： no sequence sequence-number permit protocol source-ipv6-prefix/prefix-length | any | host source-ipv6-address operator port-number destination-ipv6- prefix/prefix-length | any | host des

19、tination-ipv6-address operator port-number protocol-special-options dscp value flow-label value fragments routing reflect reflext-list-name timeout value time-range time-range-name log log- input no sequence sequence-number deny protocol source-ipv6-prefix/prefix-length | any | host source-ipv6-addr

20、ess operator port-number destination-ipv6- prefix/prefix-length | any | host destination-ipv6-address operator port-number protocol-special-options dscp value flow-label value fragments routing time- range time-range-name log log-input 在刪除一條規(guī)則時，可以直接使用規(guī)則命令的 no 形式，也可以直接使用 no sequence sequence-nubmer 命

21、令來進行。 自反訪問列表規(guī)則的配置自反訪問列表規(guī)則的配置 自反訪問列表主要為通過匹配 permit 訪問規(guī)則的報文特征而建立的一組訪問規(guī)則，它是訪問列表的 一種擴展功能，主要用來實現(xiàn)類似如下的訪問控制：網(wǎng)絡(luò) a 與網(wǎng)絡(luò) b 通過路由器相連接，網(wǎng)絡(luò) a 可以主 動的訪問網(wǎng)絡(luò) b，但網(wǎng)絡(luò) b 不能主動的來訪問網(wǎng)絡(luò) a。 1、 自反訪問列表的建立 建立自反訪問列表，需要在訪問列表規(guī)則配置時，在 permit 規(guī)則中通過 reflect reflex-list-name timeout value命令選項來設(shè)置。 版權(quán)所有2011，邁普通信技術(shù)股份有限公司，保留所有權(quán)利 reflex-list-nam

22、e 即為要創(chuàng)建的自反訪問列表名稱，當此 permit 規(guī)則被匹配時，則根據(jù)相應(yīng)的匹配報 文特征創(chuàng)建列表，創(chuàng)建相應(yīng)的 permit 規(guī)則；其中 timeout 可用來設(shè)置創(chuàng)建的此自反規(guī)則的超時時間，如 果此自反規(guī)則在 timeout 時間內(nèi)沒有任何匹配，規(guī)則將自動刪除。 2、 自反訪問列表的引用 通過 evaluate 命令來引用一個自反訪問列表，其相應(yīng)的 no 命令形式來刪除對一個自反訪問列表的引 用。 no sequence sequence-number evaluate reflex-list-name 語法語法描述描述 evaluate命令關(guān)鍵字，用來指示引用一個自反訪問列表 refl

23、ex-list-name指定要引用的自反訪問列表名稱 注：注：evaluate 規(guī)則也有序號標識其在整個訪問列表中的位置，規(guī)則刪除也可以直接使用 no sequence sequence-number 的形式來進行。 基于時間域的訪問列表規(guī)則的配置基于時間域的訪問列表規(guī)則的配置 在實際的使用環(huán)境中，根據(jù)安全控制的需要，可能需要在某一段時間內(nèi)控制一些通信的進行，在另 一段時間控制其他一些通信的進行，對于這種情況，可以使用基于時間域的訪問列表。 、基于時間域的訪問規(guī)則 在配置訪問列表規(guī)則時，通過在命令選項中加上 time-range time-range-name 來設(shè)置規(guī)則時間域相關(guān)， 其中 t

24、ime-range 為關(guān)鍵字，time-range-name 為時間域名稱。 時間域相關(guān)的訪問規(guī)則，在當前時間域時間范圍有效時，規(guī)則生效，即參與匹配，否則規(guī)則不生效。 、基于時間域的訪問列表 除可以配置規(guī)則時間域相關(guān)外，也可以通過命令來設(shè)置整個訪問列表時間域相關(guān)。 no ipv6 time-range time-range-name access-list access-list-name 語法語法描述描述 time-range-name時間域控制列表名稱 access-list-name訪問列表名稱 版權(quán)所有2011，邁普通信技術(shù)股份有限公司，保留所有權(quán)利 訪問列表信息配置訪問列表信息配置

25、為方便用戶，可通過 remark 命令為訪問列表規(guī)則設(shè)定描述信息 sequence sequence-number remark remark-line no sequence sequence-number remark remark-line 語法語法描述描述 remark關(guān)鍵字，指明設(shè)置描述信息 remark-line訪問列表描述信息；描述信息最長可以設(shè)置 100 字 符，超過長度時，將自動截斷 應(yīng)用訪問列表配置應(yīng)用訪問列表配置 訪問列表作為系統(tǒng)中的一個基礎(chǔ)設(shè)施，對報文進行分類，可以供其他各功能模塊使用，本節(jié)主要介 紹在接口上應(yīng)用訪問列表實現(xiàn)包過濾的配置描述。 使用訪問列表實現(xiàn)包過濾應(yīng)用

26、配置主要有以下步驟： 1 創(chuàng)建訪問列表 2 配置訪問列表規(guī)則 3 在接口上綁定訪問列表 可以通過以下命令在接口上配置綁定訪問列表，使用命令相應(yīng)的 no 形式解除綁定。 ipv6 traffic-filter access-list-name in | out no ipv6 traffic-filter access-list-name in | out 語法語法描述描述 access-list-name指定接口上要綁定的訪問列表名稱 in out 指定訪問列表在接口上的綁定方向，即對報文進行 入口過濾還是出口過濾 注意：注意： 在接口上綁定訪問列表對報文進行過濾時，有如下報文需要注意：ipv

27、6 nd 報文完成類似 ipv4 中 arp 功能，在訪問列表中若沒有明確配置 deny 此類 nd 報文或所有報文時，這些報文將被 permit。 用戶在配置訪問列表接口綁定時，訪問列表可以先不存在，此時，過濾并不生效，在之后配置了訪 版權(quán)所有2011，邁普通信技術(shù)股份有限公司，保留所有權(quán)利 問列表后，接口過濾生效。 版權(quán)所有2011，邁普通信技術(shù)股份有限公司，保留所有權(quán)利 第第 4 章章訪問列表配置實例訪問列表配置實例 本節(jié)將以一個完成的實例，來演示訪問列表規(guī)則的配置以及接口綁定訪問列表實現(xiàn)報文過濾的配置。 在如上的一個簡單網(wǎng)絡(luò)中，我們來實現(xiàn)禁止網(wǎng)絡(luò)中所有地址為 ipv6 映射地址的報文通

28、過路由器，可 以采用如下的步驟來配置。 （假定路由器 f0 接口與圖中網(wǎng)絡(luò)連接） 配置訪問列表 命令命令描述描述 router#configure terminal進入全局配置模式 route(config)#ipv6 access-list list-test配置訪問列表，進入 ipv6 訪 問列表配置模式 route(config-ipv6-acl)#reamark disallow mapped addresses, as they shouldnt be on the wire 設(shè)置 remark 信息，禁止映射 地址報文 route(config-ipv6-acl)# deny ip

29、v6 from :ffff:0.0.0.0/96 to any禁止源地址為:ffff.0.0.0.0/96 的報文通過 route(config-ipv6-acl)# deny ipv6 from any to :ffff:0.0.0.0/96禁止目的地址為: :ffff.0.0.0.0/96 的報文通過 route(config-ipv6-acl)#permit ipv6 any any設(shè)置默認規(guī)則，允許所有報文 通過 route(config-ipv6-acl)#exit退出訪問列表配置模式 接口上綁定訪問列表 命令命令描述描述 router#configure terminal進入全局配

30、置模式 route(config)#interface f0進入接口配置模式，配置 f0 版權(quán)所有2011，邁普通信技術(shù)股份有限公司，保留所有權(quán)利 接口 route(config-if-f0l)#ipv6 traffic-filter list-test in在接口 in 方向上綁定訪問列 表 route(config-if-f0l)#exit退出接口配置模式 版權(quán)所有2011，邁普通信技術(shù)股份有限公司，保留所有權(quán)利 第第 5 章章訪問列表顯示與維護訪問列表顯示與維護 命令命令描述描述配置模式配置模式 show ipv6 access-list access-list-name查看訪問列表信息

31、enable show ipv6 reflexive-list reflex-list-name查看自反訪問列表信息enable show ipv6 traffic-filter interface interface-name 查看接口上訪問列表綁定enable 查看訪問列表信息 用來顯示訪問列表信息，以及規(guī)則的匹配信息 show ipv6 access-list access-list-name 語法語法描述描述 access-list-name指定要顯示的訪問列表名稱，若不指定訪問列表名稱， 將顯示所有配置的訪問列表 以下為某系統(tǒng)上配置顯示情況： router#show ipv6 acc

32、ess-list 顯示結(jié)果：顯示結(jié)果： ipv6 access-list test rules: 8; reference: 0; state: active default: deny; nomatch: 0 permited (0 addrs), 0 denied (0 addrs). sequence 10 permit ipv6 30:1/64 any match: 0 packets, 0 bytes, 0 addrs; last match: 0; state: active sequence 20 permit ipv6 20:1/64 any reflect reflist m

33、atch: 0 packets, 0 bytes, 0 addrs; last match: 0; state: active sequence 30 permit ipv6 10:1/64 any reflect refguest time-range worktime match: 0 packets, 0 bytes, 0 addrs; last match: 0; state: active sequence 40 permit ipv6 any 70:1/64 match: 0 packets, 0 bytes, 0 addrs; last match: 0; state: active 版權(quán)所有2011，邁普通信技術(shù)股份有限公司，保留所有權(quán)利 sequence 50 permit icmp any any nd-ns match: 0 packets, 0 bytes, 0 addrs; last match: 0; state: active sequence 60 permit icmp any any nd-na match: 0 packets, 0 bytes, 0 addrs; last