收藏
下载资源

IPv6访问列表配置手册

上传人:m**** 文档编号:426934311 上传时间:2023-09-16 格式:DOC 页数:17 大小:431KB
返回 下载 相关 举报
IPv6访问列表配置手册_第1页
第1页 / 共17页
IPv6访问列表配置手册_第2页
第2页 / 共17页
IPv6访问列表配置手册_第3页
第3页 / 共17页
IPv6访问列表配置手册_第4页
第4页 / 共17页
IPv6访问列表配置手册_第5页
第5页 / 共17页
点击查看更多>>
资源描述

《IPv6访问列表配置手册》由会员分享,可在线阅读,更多相关《IPv6访问列表配置手册(17页珍藏版)》请在金锄头文库上搜索。

1、IPv6访问列表配置手册版权所有2011,迈普通信技术股份有限公司,保留所有权利 目录第1章简介1第2章IPV6访问列表简介2第3章IPV6访问列表配置描述3第4章访问列表配置实例11第5章访问列表显示与维护13版权所有2011,迈普通信技术股份有限公司,保留所有权利 1第1章 简介本章主要描述实现IPv6安全功能的访问列表(Access Control Lists)控制技术。本章主要内容:l 访问列表技术简介l 访问列表配置描述l 访问列表应用实例l 访问列表显示与维护版权所有2011,迈普通信技术股份有限公司,保留所有权利 2第2章 IPv6访问列表简介访问列表(Access Contro

2、l Lists),即为一组访问控制规则的表项的集合;作为路由器中的的一个强有力的基础工具,访问列表实现对报文的详细分类,其可用于安全过滤、流量标识、报文标识等。访问列表使用名称来命名,以区分不同的访问列表,每个访问列表由一组按序号(Sequence)标识的访问控制规则组成,每条规则指明将要匹配的报文特征及相应的执行动作(Permit 或 Deny)。执行动作Permit或Deny,其本意为允许或拒绝一个报文的通过,在不同的应用环境下,执行动作与应用相关,一般Permit即接受并处理报文,Deny则丢弃或忽略对报文的处理。IPv6访问列表规则的匹配过程与IPv4访问列表规则的匹配过程相同,它按照

3、列表规则的序号依次来进行匹配:一个报文与一条规则相匹配,则执行此条规则的相应动作,否则报文将继续与下一条规则进行匹配;若所有配置规则都没有匹配发生,则对报文执行默认的动作。第3章 IPv6访问列表配置描述命令描述配置模式ipv6 access-list name配置IPv6访问列表configpermit protocol source-ipv6-prefix/prefix-length | any | host source-ipv6-address operator port-number destination-ipv6-prefix/prefix-length | any | host

4、 destination-ipv6-address operator port-number protocol-special-options dscp value flow-label value fragments routing reflect reflext-list-name timeout value time-range time-range-name log log-input sequence sequence-number配置访问列表PERMIT规则config-ipv6-acldeny protocol source-ipv6-prefix/prefix-length |

5、 any | host source-ipv6-address operator port-number destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address operator port-number protocol-special-options dscp value flow-label value fragments routing time-range time-range-name log log-input sequence sequence-number配置访问列表DENY规则co

6、nfig-ipv6-aclsequence sequence-number evaluate reflex-list-name配置引用自反访问列表规则config-ipv6-aclsequence sequence-number remark remark-line配置访问列表REMARK描述信息config-ipv6-aclipv6 time-range time-range-name access-list access-list-name配置时间域访问列表configipv6 traffic-filter access-list-name in | out在接口下配置应用访问列表conf

7、ig-if-xxxn IPv6访问列表的创建与删除配置访问列表,并进入IPv6访问列表配置模式;使用本命令的no形式用来删除一个访问列表。no ipv6 access-list name语法描述name访问列表名称,是最大长度为32字节的可打印字符串% 注意: 访问列表名称有效长度为32字节,当输入超过32字节时,将自动截断为32字节。执行ipv6 access-list name命令后,列表并不马上创建,只有当列表中配置了规则或remark信息后,才真正创建列表;当将列表中所有配置规则或remark删除后,列表将自动删除。n 访问列表规则的配置配置访问列表的PERMIT、DENY规则,使用命

8、令的no形式删除相应的规则。no permit protocol source-ipv6-prefix/prefix-length | any | host source-ipv6-address operator port-number destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address operator port-number protocol-special-options dscp value flow-label value fragments routing reflect refl

9、ext-list-name timeout value time-range time-range-name log log-input sequence sequence-numberno deny protocol source-ipv6-prefix/prefix-length | any | host source-ipv6-address operator port-number destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address operator port-number protoc

10、ol-special-options dscp value flow-label value fragments routing time-range time-range-name log log-input sequence sequence-number语法描述permit指定规则匹配后执行permit动作deny指定规则匹配后执行deny动作protocol规则需要匹配的协议名称或协议号source-ipv6-prefix/prefix-lengthdestination-ipv6-prefix/prefix-length用来指定源或目的需要匹配的网络地址范围any用来表示源或目的地址

11、匹配时匹配任何地址,此关键字配置等同于配置地址为 :/ 0host source-ipv6-addresshost destination-ipv6-address用来指定源或目的需要匹配的主机地址operator port-number此选项与协议相关,用来指定需要匹配的端口范围等。operator可以有如下一些值:eq 匹配特定端口的报文neq 匹配特定端口除外的报文gt 匹配端口大于某值的报文lt 匹配端口小于某值的报文range 匹配端口处于某范围的报文wildcard 匹配端口符合某掩码规则的报文protocol-special-options指定协议相关的选项,对tcp,icmp等

12、协议分别有不同的选项dscp value指定匹配特定优先级的报文,优先级值范围 0 63配置时也可以通过名称来指定优先级,一些优先级名称与值之间的对应关系flow-label value指定匹配特定流的报文,流标签的取值范围 0 1048575fragments指定匹配含分片选项报文routing指定匹配含路由选项报文reflect reflex-list-name timeout value指定依据匹配的报文建立相应的自反列表,timeout用来设置建立的相应规则的超时失效时间,自反选项只对pemit规则有效time-range time-range-name指定规则相关的时间域列表,当配置

13、时间域列表后,只在当前时间域有效的时候,规则生效,否则规则不生效log设置规则匹配后记录相应的日志信息log-input设置规则匹配后记录相应的日志信息,并在规则首次匹配时,打印匹配的报文内容信息sequence sequence-number用来设置规则的序号,序号配置范围 1 4294967294访问sequence序号的设置,可以在规则最后来设置,也可以在最前面进行设置,通过序号的方式,可以方便的进行规则的插入等& 注:1、 protocol-special-options为协议特定的一些选项,列表如下:协议选项描述TCPack,established,fin,psh,rst,syn,u

14、rg可配置匹配TCP协议的特定标志位ICMPicmp-type icmp-code可指定icmp报文的类型、编码,配置匹配特定的icmp报文type,code可以直接指定相应的编码数值,也可以使用相应的type,code名称,目前可配置名称的type有如下一些:echo-reply,echo-request,mld-done,mld-query,mld-report,nd-na,nd-ns,nd-redirect,packet-too-big,parameter-problem,router-advertisement,router-renumbering,router-solicitation,time-exceeded,unreachable2、 DSCP值与名称的对应关系表(值以二进制形式表示)af11001010af32011100cs3011000af12001100af33011110cs4100000af13001110af41100010cs5101000af21010010af42100100cs6110000af22010100af43100110cs71110

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 大杂烩/其它

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号