|
Поделитесь пожалуйста ► Первой частью курса. В первой лекции упоминается, цитирую: "В первой части настоящего курса отмечалось, что соединение локальных сетей LAN..." |
Инспектор
Вы можете этот курс.
Опубликован: 11.02.2017 | Уровень: для всех | Доступ: платный
Лекция 5:
Списки контроля доступа
5.4. Списки доступа IPv6
Ниже рассмотрены особенности конфигурирования списков доступаIPv6на примере сети рис. 5.5.
Протокол IPv6 поддерживает только именованные расширенные списки доступа. Имена списков IPv6 и IPv4 должны быть разными. Вместо команды IPv4 назначения списка доступа на интерфейс (ip access-group), в сетях IPv6 используется команда ipv6 traffic-filter.
В конце списка доступа IPv6 неявно присутствует команда deny ipv6 any any. Кроме того, список доступа IPv6 включает еще два неявных условия:
permit icmp any any nd-ns, permit icmp any any nd-na.
Эти условия необходимы для разрешения передачи пакетов обнаружения соседних устройств и их МАС-адресов (Neighbor Discovery - nd) средствами протокола ICMP (вместо протокола ARP в сетях IPV4). Для получения МАС-адреса соседнего устройства (конечного узла или интерфейса сетевого элемента) маршрутизатор посылает запрос (Neighbor Solicitation - ns), и в ответ получает сообщение объявления соседнего устройства (Neighbor Advertisement - na). Первое условие разрешает передачу запроса обнаружения соседей (nd-ns), второе (nd-na) - объявления соседних устройств.
Конфигурирование списков доступа IPv6 сводится к заданию имени списка, формированию условий списка и назначению списка на интерфейс. Например, в сети рис. 5.5 необходимо создать список доступа, запрещающий доступ в Сеть 1 всем узлам Сети 3 и разрешающий доступ всем узлам Сети 2:
R-A(config)#ipv6 access-list ACL R-A(config-ipv6-acl)#deny ipv6 2001:DB8:A:3::/64 any R-A(config-ipv6-acl)#permit ipv6 any any
Назначение списка ACL на интерфейс S0/3/0 маршрутизатора А производится по команде:
R-A(config)#int s0/3/0 R-A(config-if)#ipv6 traffic-filter ACL in
Верификацию списка доступа можно провести по командам show run, show access-list. Например:
R-A#show run Building configuration... ... ipv6 unicast-routing ... interface GigabitEthernet0/0 ipv6 address 2001:DB8:A:1::1/64 ipv6 ospf 1 area 0 ! interface Serial0/3/0 ipv6 traffic-filter ACL in ipv6 address 2001:DB8:B:1::1/64 ipv6 ospf 1 area 0 clock rate 64000 ! ipv6 router ospf 1 router-id 1.1.1.1 log-adjacency-changes ! ip classless ! ipv6 access-list ACL deny ipv6 2001:DB8:A:3::/64 any permit ipv6 any any ... R-A#
Для удаления списка доступа необходимо отменить назначение на интерфейс в режиме конфигурирования интерфейса (no ipv6 traffic-filter имя in|out) затем удалить сам список (no ipv6 access-list имя).
