《【工程实验室】【IPv6访问控制列表】》由会员分享,可在线阅读,更多相关《【工程实验室】【IPv6访问控制列表】(5页珍藏版)》请在金锄头文库上搜索。
1、实验九 IPv6 访问控制列表 【实验名称】 基于 IPv6 的 ACL 【实验目的】 掌握在 IPv6 环境下对访问控制列表的配置 【背景描述】 在测试了设备对动态路由协议的支持后,江苏三江源大学对设备能在骨干网络中正常运行已经没有任何疑虑,但学校提出,为了校园网络的安全运行,希望能在网络中做一些访问控制,例如限制学生主机访问教师主机,限制教师主机访问财务部门主机等。这些应用都需要设备对访问控制列表的良好支持,在得知学校领导的想法后,小王主动提出测试设备对访问控制功能的支持。 【需求分析】 需求 1:在学校的网络应用中,通常希望能够对网络中不同主机之间的互相访问做安全控制的策略,例如学生机器
2、到教师机器的访问,普通教师到学校财务主机的访问都是不希望看到的。 分析 1:利用访问控制列表来限制网络中的不同主机之间的访问,通过在访问控制列表中定义规则,可以让特定主机无法访问特定网络。 【实验拓扑】 如图 1-29 所示网络拓扑,通过在交换机上配置IPv6 地址 , 掌握在IPv6 环境下对访问控制列表的配置。 图 1-29 IPv6 环境下对访问控制列表的配置拓扑 【实验设备】 双协议栈交换机 1 台 IP v6 PC 2 台 双绞线 3条 【预备知识】 双协议栈的概念 IPv6 地址结构 IPv6 主机地址配置 S3760 双栈交换机 IPv6 功能的开启 【实验步骤】 第一步:配置双
3、协议栈交换机接口。 S3760_1(config)#interface fastEthernet 0/1 S3760_1(config-if)#ipv6 enable S3760_1(config-if)#no switchport S3760_1(config-if)#ipv6 address 1:1/64 S3760_1(config-if)#no ipv6 nd suppress-ra S3760_1(config-if)#no shutdown S3760_1(config-if)#exit S3760_1(config)#interface fastEthernet 0/2 S376
4、0_1(config-if)#no switchport S3760_1(config-if)#ipv6 enable S3760_1(config-if)#ip address 2:1/64 S3760_1(config-if)#no ipv6 nd suppress-ra S3760_1(config-if)#no shutdown S3760_1(config-if)#exit 验证测试:验证交换机接口状态 S3760_1#show ipv6 interfaces interface FastEthernet 0/1 is Up, ifindex: 1 address(es): Mac
5、Address: 00:d0:f8:c1:b3:e3 INET6: 1:1 , subnet is 1:/64 Joined group address(es): ff02:2 ff01:1 ff02:1 ff02:1:ff00:1 INET6: fe80:2d0:f8ff:fec1:b3e3 , subnet is fe80:/64 Joined group address(es): ff02:2 ff01:1 ff02:1 ff02:1:ffc1:b3e3 MTU is 1500 bytes ICMP error messages limited to one every 100 mill
6、iseconds ICMP redirects are enabled ND DAD is enabled, number of DAD attempts: 1 ND reachable time is 30000 milliseconds ND advertised reachable time is 0 milliseconds ND retransmit interval is 1000 milliseconds ND advertised retransmit interval is 0 milliseconds ND router advertisements are sent ev
7、ery 200 seconds ND router advertisements live for 1800 seconds interface FastEthernet 0/2 is Up, ifindex: 2 address(es): Mac Address: 00:d0:f8:c1:b3:e4 INET6: 2:1 , subnet is 2:/64 Joined group address(es): ff02:2 ff01:1 ff02:1 ff02:1:ff00:1 INET6: fe80:2d0:f8ff:fec1:b3e4 , subnet is fe80:/64 Joined
8、 group address(es): ff02:2 ff01:1 ff02:1 ff02:1:ffc1:b3e4 MTU is 1500 bytes ICMP error messages limited to one every 100 milliseconds ICMP redirects are enabled ND DAD is enabled, number of DAD attempts: 1 ND reachable time is 30000 milliseconds ND advertised reachable time is 0 milliseconds ND retr
9、ansmit interval is 1000 milliseconds ND advertised retransmit interval is 0 milliseconds ND router advertisements are sent every 200 seconds ND router advertisements live for 1800 seconds 第二步:设置 IPv6 访问控制列表。 A、 设置时间访问控制列表 S3760_1(config)#time-range work S3760_1(config-time-range)#periodic daily 9:00
10、 to 18:00 B、 设置访问控制列表规则 S3760_1(config)#ipv6 access-list deny_ping S3760_1(config-ipv6-acl)#deny icmp host 1:2 host 2:2 time-range work S3760_1(config-ipv6-acl)#permit ipv6 any any C、 校正系统时间 S3760_1#clock set 2:00:45 7 9 2006 第三步:测试网络连通性。 A、测试 PC1到 PC2 的连通性,网络是通畅的,如图 1-30 所示。 图 1-30 网络连通性测试 B、 在端口上应
11、用访问控制列表 S3760_1(config)#int fa 0/1 S3760_1(config-if)#ipv6 traffic-filter deny_ping in 测试 PC1 到PC2 的连通性,策略生效,网络不通,如图 1-31 所示。 图 1-31 网络连通测试 【注意事项】 注意系统时间的校对,时间没有校对会出现错误的实验结果。 【参考配置】 S3760_1#sh run System software version : RGNOS V4.11 Build Apr 29 2006 Release Building configuration. Current configu
12、ration : 483 bytes ! version 1.0 ! hostname S3760_1 vlan 1 ! ipv6 access-list deny_ping deny icmp host 1:2 host 2:2 time-range work permit ipv6 any any ! interface FastEthernet 0/1 no switchport ipv6 address 1:1/64 ipv6 enable no ipv6 nd suppress-ra ipv6 traffic-filter deny_ping in ! interface FastEthernet 0/2 no switchport ipv6 address 2:1/64 ipv6 enable no ipv6 nd suppress-ra time-range work periodic Daily 9:00 to 18:00 ! End
