备案控制台
开发者社区 大数据 文章 正文

IPv6 ACL详解/与IPv4 ACL异同点

2017-11-12 1741
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介:
Technorati 标签:  IPv6, IPv6 ACL

其实这里IPv6的ACL (access-list)和IPv4大同小异,全当是作为练习来验证一下原理吧.

1, 关于标准的访问列表.

clip_image002

配置就是这样,和IPv4的没有什么太大区别,不同的是IPv4在接口下面是用的ip access-group.IPv6如果想应用access-list的话,就是用命令ipv6 traffic-filter xxxx in/out.
仅此而已。
从配置上面可以看到,interface f0/0配置的IPv6地址为2012::1/64.如果将就上面的配置,ping 2012::2的话,源是接口地址2012::1/64,那么会得到下面的结果。显示得好像没有IPv4那么直观。
这个时候打开debug ipv6 access-list xxxxx detail

clip_image004

这个debug信息,源为2012::1,到2012::2,出接口FE0/0.
从FE0/0的物理接口发送出去了。
最后封装失败。但是没有具体说明是因为acl给deny掉了。
呵呵,希望以后的IOS会更加人性化。
否则的话如果像cisco 7200、7600或者是GSR上面想通过配置来进行故障排查,那可就整死人了。动则都是多少M的配置...恐怖啊。:)

2, 关于扩展的访问列表.
首先还是和Ipv4进行一个比较。
IPv6 ACLIPv4 ACL相同点:
两个都是通过IP五元组来做的.
也就是通过,1源IP地址,2目的IP地址,3传输层协议,4源端口号,5目的端口号.

IPv6IPv4 ACL的不同点:
在IPv6的ACL 中,新添加了:
■根据IPv6报头中的流类别和流标记标签进行匹配。新的可选关键字是DSCP/flow-label/fragments/routing/undetermined-transport.在IPv4中是关于DSCP和IP precedence是需要嵌套关系来进行过滤的,而且不是用acl来进行的,是用qos的机制先定义class-map,然后再用policy把class map嵌套进来,最后封装到接口下面。现在是可以直接进行过滤了哈。
■支持ICMPv6的消息类型过滤。ICMPv6在IPv6中是如此的重要,几乎所有的工作机制都全部用不同的ICMPv6不同类型的消息来进行工作,实际上ICMPv6就像是汇编语言,IPv6只是一个操作系统的感觉.如果没有汇编把平台编译出来,再好的操作系统,都没有办法进行工作.新的关键字nd-na,nd-ns,router-advertisement和router-solicitation.
■为NDP添加了新的隐含IPv6的规则.

以前在IPv4中,我们都知道最后一个默认隐藏的命令是:
deny ip any any
在IPv6中也是一样。deny ipv6 any any.但是在这之前还加入了一些隐藏命令。总得顺序是这样的。
permit icmp any any nd-ns
permit icmp any any nd-na
deny ipv6 any any
当然这些在一个IPv6的ACL中是不会被显示出来的。
这里再做一个知识回顾,在前面已经说明了什么是na,什么是NS.

nd-na 邻居公告消息ICMPv6 type=136
nd-ns 邻居请求消息, ICMPv6 type=135.
router-advertisement 路由器公告ICMPv6 type=134.
router-solicitation 路由器请求, ICMPv6 type=133.

PS:
对于扩展IPv6 ACL来说,没有对于PMTU的默认隐含规则.源节点用PMTUD机制来检测沿发送路径直到目的主机的最大MTU,确保在扩展IPv6 ACL中定义这样一个声明:允许ICMPv6类型2数据包过大,从anyany,以免大数据包带来的分片问题。

下面是一些IPv6的书写格式和一些新功能的应用。 
clip_image006

最后就是管理ACL了。
■显示IPv6 ACL.
show ipv6 access-list

clip_image008

这里其实和IPv4一样,明显可以看出图中两个ACL的区别,ACL blocksitelocal是真正应用在接口下面了的,所以有多少报文被match的字段在里面,而ACL maipu,只是在全局下面配置了,但是没有真正的实际应用到接口下面进行激活的。

这里其实也是ACL故障排查的一个点,很多终端客户说,配置了ACL但是没有生效,那么可以用该命令看看是否应用到接口下面,报文的匹配情况如何呢?
■当然如果要清除上面的匹配计数器,还是用命令: clear ipv6 access-list即可。
■debug ipv6 packet来进行故障排查。
或者是跟一些子参数:
R1#debug ipv6 packet access-list maipu detail



本文转自 hny2000 51CTO博客,原文链接:http://blog.51cto.com/361531/643345


文章标签:
网络协议
大数据
科技小能手
目录
相关文章
liuyunshengsir
|
9月前
|
安全 网络安全 数据安全/隐私保护
网络ACL
网络ACL 网络ACL(Access Control List)是一种网络安全机制,用于控制网络中数据流的进出和传递。它基于规则列表,定义了允许或拒绝通过网络设备(如路由器、防火墙)的数据流。 网络ACL通常用于限制或过滤特定类型的流量,以实现对网络资源和服务的保护和管理。它可以根据不同的条件对数据流进行过滤,如源IP地址、目标IP地址、源端口、目标端口、协议类型等。 下面是网络ACL的一些常见应用场景和功能: 1. 访问控制:网络ACL可以设置规则,限制特定IP地址或子网访问某些网络资源。例如,可以设置拒绝来自某个IP地址的所有入站流量,或者只允许特定子网的流量通过。
liuyunshengsir
171 0
程序员朱永胜
|
5月前
|
网络协议 网络安全 数据安全/隐私保护
IPv4和IPv6有什么区别
IPv4和IPv6有什么区别
程序员朱永胜
78 1
m0_58076958
|
8月前
|
数据安全/隐私保护 网络架构
ACL和NAT
ACL和NAT
m0_58076958
52 0
d6ej2vfibs2cw
|
12月前
|
网络协议 网络安全 数据安全/隐私保护
基本ACL和扩展ACL
基本ACL和扩展ACL
d6ej2vfibs2cw
274 0
haeu2qzuufd3q
|
网络协议 数据挖掘 网络性能优化
ipv6地址概述——了解ipv6与ipv4不同
一 ipv4与ipv6 1.ipv4的概述 目前的全球因特网所采用的协议族是TCP/IP协议族。IP是TCP/IP协议族中网络层的协议,是TCP/IP协议族的核心协议。目前IP协议的版本号是4(简称为IPv4),发展至今已经使用了30多年。 IPv4的地址位数为32位,也就是最多有2的32次方的电脑可以联到Internet上。 近十年来由于互联网的蓬勃发展,IP位址的需求量愈来愈大,使得IP位址的发放愈趋严格,各项资料显示全球IPv4位址可能在2005至2008年间全部发完。
haeu2qzuufd3q
186 0
ipv6地址概述——了解ipv6与ipv4不同
haeu2qzuufd3q
|
网络协议 Linux Windows
ipv6地址概述——配置ipv6
5.测试连通性 在c1上ping c2 例如: ping 2000::20c:29ff:fe02:7740,ip地址可以利用ipconfig或者ifconfig(linux)查看到。
haeu2qzuufd3q
141 0
ipv6地址概述——配置ipv6
陈丹宇jmu
|
网络协议 数据安全/隐私保护 网络架构
CCNA-ACL(访问控制列表)标准ACL 扩展ACL 命名ACL(上)
CCNA-ACL(访问控制列表)标准ACL 扩展ACL 命名ACL(上)
陈丹宇jmu
137 0
CCNA-ACL(访问控制列表)标准ACL 扩展ACL 命名ACL(上)
韩曙亮
|
网络协议 网络性能优化 网络架构
【计算机网络】网络层 : IPv6 协议 ( IPv6 数据包格式 | IPv6 地址表示 | IPv6 地址类型 | IPv4 与 IPv6 协议对比 | IPv4 -> IPv6 过渡策略 )
【计算机网络】网络层 : IPv6 协议 ( IPv6 数据包格式 | IPv6 地址表示 | IPv6 地址类型 | IPv4 与 IPv6 协议对比 | IPv4 -> IPv6 过渡策略 )
韩曙亮
239 0
【计算机网络】网络层 : IPv6 协议 ( IPv6 数据包格式 | IPv6 地址表示 | IPv6 地址类型 | IPv4 与 IPv6 协议对比 | IPv4 -> IPv6 过渡策略 )
技术小阿哥
|
数据安全/隐私保护 网络架构 网络协议
扩展IP访问控制列表
技术小阿哥
1078 0
科技小先锋
|
算法
IPv4详解之表示方法
科技小先锋
1284 0