IPv6访问列表配置手册.doc

版权所有2011，迈普通信技术股份有限公司，保留所有权利 ipv6 访问列表配置手册访问列表配置手册 版权所有2011，迈普通信技术股份有限公司，保留所有权利 目录目录 第第 1 章章简介简介1 第第 2 章章ipv6 访问列表简介访问列表简介2 第第 3 章章ipv6 访问列表配置描述访问列表配置描述3 第第 4 章章访问列表配置实例访问列表配置实例11 第第 5 章章访问列表显示与维护访问列表显示与维护13 版权所有2011，迈普通信技术股份有限公司，保留所有权利 第第 1 章章简介简介 本章主要描述实现 ipv6 安全功能的访问列表（access control lists）控制技术。 本章主要内容： 访问列表技术简介 访问列表配置描述 访问列表应用实例 访问列表显示与维护 版权所有2011，迈普通信技术股份有限公司，保留所有权利 第第 2 章章ipv6 访问列表简介访问列表简介 访问列表（access control lists） ，即为一组访问控制规则的表项的集合；作为路由器中的的一个强有 力的基础工具，访问列表实现对报文的详细分类，其可用于安全过滤、流量标识、报文标识等。 访问列表使用名称来命名，以区分不同的访问列表，每个访问列表由一组按序号（sequence）标识的 访问控制规则组成，每条规则指明将要匹配的报文特征及相应的执行动作（permit 或 deny） 。执行动作 permit 或 deny，其本意为允许或拒绝一个报文的通过，在不同的应用环境下，执行动作与应用相关，一 般 permit 即接受并处理报文，deny 则丢弃或忽略对报文的处理。 ipv6 访问列表规则的匹配过程与 ipv4 访问列表规则的匹配过程相同，它按照列表规则的序号依次来 进行匹配：一个报文与一条规则相匹配，则执行此条规则的相应动作，否则报文将继续与下一条规则进 行匹配；若所有配置规则都没有匹配发生，则对报文执行默认的动作。 版权所有2011，迈普通信技术股份有限公司，保留所有权利 第第 3 章章ipv6 访问列表配置描述访问列表配置描述 命令命令描述描述配置模式配置模式 ipv6 access-list name配置 ipv6 访问列表config permit protocol source-ipv6- prefix/prefix-length | any | host source-ipv6- address operator port-number destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address operator port-number protocol-special-options dscp value flow-label value fragments routing reflect reflext-list-name timeout value time-range time-range-name log log-input sequence sequence-number 配置访问列表 permit 规则config-ipv6-acl deny protocol source-ipv6-prefix/prefix- length | any | host source-ipv6-address operator port-number destination-ipv6- prefix/prefix-length | any | host destination- ipv6-address operator port-number protocol-special-options dscp value flow-label value fragments routing time-range time-range-name log log- input sequence sequence-number 配置访问列表 deny 规则config-ipv6-acl sequence sequence-number evaluate reflex-list-name 配置引用自反访问列表规则config-ipv6-acl sequence sequence-number remark remark-line 配置访问列表 remark 描述 信息 config-ipv6-acl ipv6 time-range time-range-name access- list access-list-name 配置时间域访问列表config ipv6 traffic-filter access-list-name in | out 在接口下配置应用访问列表config-if-xxx ipv6 访问列表的创建与删除访问列表的创建与删除 版权所有2011，迈普通信技术股份有限公司，保留所有权利 配置访问列表，并进入 ipv6 访问列表配置模式；使用本命令的 no 形式用来删除一个访问列表。 no ipv6 access-list name 语法语法描述描述 name访问列表名称，是最大长度为 32 字节的可打印字符 串 注意：注意： 访问列表名称有效长度为 32 字节，当输入超过 32 字节时，将自动截断为 32 字节。 执行 ipv6 access-list name 命令后，列表并不马上创建，只有当列表中配置了规则或 remark 信息后，才 真正创建列表；当将列表中所有配置规则或 remark 删除后，列表将自动删除。 访问列表规则的配置访问列表规则的配置 配置访问列表的 permit、deny 规则，使用命令的 no 形式删除相应的规则。 no permit protocol source-ipv6-prefix/prefix-length | any | host source-ipv6-address operator port- number destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address operator port-number protocol-special-options dscp value flow-label value fragments routing reflect reflext-list-name timeout value time-range time-range-name log log-input sequence sequence-number no deny protocol source-ipv6-prefix/prefix-length | any | host source-ipv6-address operator port- number destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address operator port-number protocol-special-options dscp value flow-label value fragments routing time-range time-range-name log log-input sequence sequence-number 语法语法描述描述 permit指定规则匹配后执行 permit 动作 deny指定规则匹配后执行 deny 动作 protocol规则需要匹配的协议名称或协议号 source-ipv6-prefix/prefix-length destination-ipv6-prefix/prefix-length 用来指定源或目的需要匹配的网络地址范围 any用来表示源或目的地址匹配时匹配任何地址，此关 键字配置等同于配置地址为 ：/ 0 版权所有2011，迈普通信技术股份有限公司，保留所有权利 host source-ipv6-address host destination-ipv6-address 用来指定源或目的需要匹配的主机地址 operator port-number此选项与协议相关，用来指定需要匹配的端口范围 等。 operator 可以有如下一些值： eq 匹配特定端口的报文 neq 匹配特定端口除外的报文 gt 匹配端口大于某值的报文 lt 匹配端口小于某值的报文 range 匹配端口处于某范围的报文 wildcard 匹配端口符合某掩码规则的报文 protocol-special-options指定协议相关的选项，对 tcp，icmp 等协议分别有 不同的选项 dscp value指定匹配特定优先级的报文，优先级值范围 0 63 配置时也可以通过名称来指定优先级，一些优先级 名称与值之间的对应关系 flow-label value指定匹配特定流的报文，流标签的取值范围 0 1048575 fragments指定匹配含分片选项报文 routing指定匹配含路由选项报文 reflect reflex-list-name timeout value指定依据匹配的报文建立相应的自反列表，timeout 用来设置建立的相应规则的超时失效时间，自反选 项只对 pemit 规则有效 time-range time-range-name指定规则相关的时间域列表，当配置时间域列表后， 只在当前时间域有效的时候，规则生效，否则规则 不生效 log设置规则匹配后记录相应的日志信息 log-input设置规则匹配后记录相应的日志信息，并在规则首 次匹配时，打印匹配的报文内容信息 版权所有2011，迈普通信技术股份有限公司，保留所有权利 sequence sequence-number用来设置规则的序号，序号配置范围 1 4294967294 访问 sequence 序号的设置，可以在规则最后来设置， 也可以在最前面进行设置，通过序号的方式，可以 方便的进行规则的插入等 注：注： 1、 protocol-special-options 为协议特定的一些选项，列表如下： 协议协议选项选项描述描述 tcpack，established，fin ，psh，rst，syn，ur g 可配置匹配 tcp 协议的特定标志位 icmpicmp-type icmp- code 可指定 icmp 报文的类型、编码，配置匹配特定的 icmp 报文 type，code 可以直接指定相应的编码数值，也可以使用 相应的 type，code 名称，目前可配置名称的 type 有如下 一些： echo-reply，echo-request，mld-done，mld-query，mld- report，nd-na，nd-ns，nd-redirect，packet-too- big，parameter-problem，router-advertisement，router- renumbering，router-solicitation，time- exceeded，unreachable 2、 dscp 值与名称的对应关系表（值以二进制形式表示） af11001010af32011100cs3011000 af12001100af33011110cs4100000 af13001110af41100010cs5101000 af21010010af42100100 cs6110000 af22010100af43 100110cs7111000 af23010110 cs1001000default000000 af31011010 cs2010000ef101110 版权所有2011，迈普通信技术股份有限公司，保留所有权利 3、 sequence sequence-number 为每条规则设置一个序号；访问列表中规则的匹配是按序号依次来进 行的，通过序号的方式，可以更方便的组织规则。 4、 在配置规则时，可以不明确的指定规则 sequence 序号，此种情况下，将自动加到当前规则列表最 后，规则的序号为最后规则的序号加 10。 在 permit/deny 规则配置时，sequence sequence-number 命令选项可以放到末尾来进行设置，也可以 放到最开始来设置，即 permit/deny 命令还有如下的形式： no sequence sequence-number permit protocol source-ipv6-prefix/prefix-length | any | host source- ipv6-address operator port-number destination-ipv6-prefix/prefix-length | any | host destination-ipv6- address operator port-number protocol-special-options dscp value flow-label value fragments routing reflect reflext-list-name timeout value time-range time-range-name log log-input no sequence sequence-number deny protocol source-ipv6-prefix/prefix-length | any | host source- ipv6-address operator port-number destination-ipv6-prefix/prefix-length | any | host destination-ipv6- address operator port-number protocol-special-options dscp value flow-label value fragments routing time-range time-range-name log log-input 在删除一条规则时，可以直接使用规则命令的 no 形式，也可以直接使用 no sequence sequence- nubmer 命令来进行。 自反访问列表规则的配置自反访问列表规则的配置 自反访问列表主要为通过匹配 permit 访问规则的报文特征而建立的一组访问规则，它是访问列表的 一种扩展功能，主要用来实现类似如下的访问控制：网络 a 与网络 b 通过路由器相连接，网络 a 可以主 动的访问网络 b，但网络 b 不能主动的来访问网络 a。 1、 自反访问列表的建立 建立自反访问列表，需要在访问列表规则配置时，在 permit 规则中通过 reflect reflex-list-name timeout value命令选项来设置。 reflex-list-name 即为要创建的自反访问列表名称，当此 permit 规则被匹配时，则根据相应的匹配报 文特征创建列表，创建相应的 permit 规则；其中 timeout 可用来设置创建的此自反规则的超时时间，如 果此自反规则在 timeout 时间内没有任何匹配，规则将自动删除。 版权所有2011，迈普通信技术股份有限公司，保留所有权利 2、 自反访问列表的引用 通过 evaluate 命令来引用一个自反访问列表，其相应的 no 命令形式来删除对一个自反访问列表的引 用。 no sequence sequence-number evaluate reflex-list-name 语法语法描述描述 evaluate命令关键字，用来指示引用一个自反访问列表 reflex-list-name指定要引用的自反访问列表名称 注：注：evaluate 规则也有序号标识其在整个访问列表中的位置，规则删除也可以直接使用 no sequence sequence-number 的形式来进行。 基于时间域的访问列表规则的配置基于时间域的访问列表规则的配置 在实际的使用环境中，根据安全控制的需要，可能需要在某一段时间内控制一些通信的进行，在另 一段时间控制其他一些通信的进行，对于这种情况，可以使用基于时间域的访问列表。 、基于时间域的访问规则 在配置访问列表规则时，通过在命令选项中加上 time-range time-range-name 来设置规则时间域相关， 其中 time-range 为关键字，time-range-name 为时间域名称。 时间域相关的访问规则，在当前时间域时间范围有效时，规则生效，即参与匹配，否则规则不生效。 、基于时间域的访问列表 除可以配置规则时间域相关外，也可以通过命令来设置整个访问列表时间域相关。 no ipv6 time-range time-range-name access-list access-list-name 语法语法描述描述 time-range-name时间域控制列表名称 access-list-name访问列表名称 访问列表信息配置访问列表信息配置 为方便用户，可通过 remark 命令为访问列表规则设定描述信息 版权所有2011，迈普通信技术股份有限公司，保留所有权利 sequence sequence-number remark remark-line no sequence sequence-number remark remark-line 语法语法描述描述 remark关键字，指明设置描述信息 remark-line访问列表描述信息；描述信息最长可以设置 100 字 符，超过长度时，将自动截断 应用访问列表配置应用访问列表配置 访问列表作为系统中的一个基础设施，对报文进行分类，可以供其他各功能模块使用，本节主要介 绍在接口上应用访问列表实现包过滤的配置描述。 使用访问列表实现包过滤应用配置主要有以下步骤： 1 创建访问列表 2 配置访问列表规则 3 在接口上绑定访问列表 可以通过以下命令在接口上配置绑定访问列表，使用命令相应的 no 形式解除绑定。 ipv6 traffic-filter access-list-name in | out no ipv6 traffic-filter access-list-name in | out 语法语法描述描述 access-list-name指定接口上要绑定的访问列表名称 in out 指定访问列表在接口上的绑定方向，即对报文进行 入口过滤还是出口过滤 注意：注意： 在接口上绑定访问列表对报文进行过滤时，有如下报文需要注意：ipv6 nd 报文完成类似 ipv4 中 arp 功能，在访问列表中若没有明确配置 deny 此类 nd 报文或所有报文时，这些报文将被 permit。 用户在配置访问列表接口绑定时，访问列表可以先不存在，此时，过滤并不生效，在之后配置了访问列 表后，接口过滤生效。 版权所有2011，迈普通信技术股份有限公司，保留所有权利 第第 4 章章访问列表配置实例访问列表配置实例 本节将以一个完成的实例，来演示访问列表规则的配置以及接口绑定访问列表实现报文过滤的配置。 在如上的一个简单网络中，我们来实现禁止网络中所有地址为 ipv6 映射地址的报文通过路由器，可 以采用如下的步骤来配置。 （假定路由器 f0 接口与图中网络连接） 配置访问列表 命令命令描述描述 router#configure terminal进入全局配置模式 route(config)#ipv6 access-list list-test配置访问列表，进入 ipv6 访 问列表配置模式 route(config-ipv6-acl)#reamark disallow mapped addresses, as they shouldnt be on the wire 设置 remark 信息，禁止映射 地址报文 route(config-ipv6-acl)# deny ipv6 from :ffff:0.0.0.0/96 to any禁止源地址为:ffff.0.0.0.0/96 的报文通过 route(config-ipv6-acl)# deny ipv6 from any to :ffff:0.0.0.0/96禁止目的地址为: :ffff.0.0.0.0/96 的报文通过 route(config-ipv6-acl)#permit ipv6 any any设置默认规则，允许所有报文 通过 route(config-ipv6-acl)#exit退出访问列表配置模式 接口上绑定访问列表 命令命令描述描述 router#configure terminal进入全局配置模式 route(config)#interface f0进入接口配置模式，配置 f0 版权所有2011，迈普通信技术股份有限公司，保留所有权利 接口 route(config-if-f0l)#ipv6 traffic-filter list-test in在接口 in 方向上绑定访问列 表 route(config-if-f0l)#exit退出接口配置模式 版权所有2011，迈普通信技术股份有限公司，保留所有权利 第第 5 章章访问列表显示与维护访问列表显示与维护 命令命令描述描述配置模式配置模式 show ipv6 access-list access-list-name查看访问列表信息enable show ipv6 reflexive-list reflex-list-name查看自反访问列表信息enable show ipv6 traffic-filter interface interface-name 查看接口上访问列表绑定enable 查看访问列表信息 用来显示访问列表信息，以及规则的匹配信息 show ipv6 access-list access-list-name 语法语法描述描述 access-list-name指定要显示的访问列表名称，若不指定访问列表名称， 将显示所有配置的访问列表 以下为某系统上配置显示情况： router#show ipv6 access-list 显示结果：显示结果： ipv6 access-list test rules: 8; reference: 0; state: active default: deny; nomatch: 0 permited (0 addrs), 0 denied (0 addrs). sequence 10 permit ipv6 30:1/64 any match: 0 packets, 0 bytes, 0 addrs; last match: 0; state: active sequence 20 permit ipv6 20:1/64 any reflect reflist match: 0 packets, 0 bytes, 0 addrs; last match: 0; state: active sequence 30 permit ipv6 10:1/64 any reflect refguest time-range worktime match: 0 packets, 0 bytes, 0 addrs; last match: 0; state: active sequence 40 permit ipv6 any 70:1/64 match: 0 packets, 0 bytes, 0 addrs; last match: 0; state: active 版权所有2011，迈普通信技术股份有限公司，保留所有权利 sequence 50 permit icmp any any nd-ns match: 0 packets, 0 bytes, 0 addrs; last match: 0; state: active sequence 60 permit icmp any any nd-na match: 0 packets, 0 bytes, 0 addrs; last ma