【工程实验室】【IPv6访问控制列表】
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
【需求分析】 需求 1:在学校的网络应用中,通常希望能够对网络中不同主机之间的互相访问做安
全控制的策略,例如学生机器到教师机器的访问,普通教师到学校财务主机的访问都是不 希望看到的。
分析 1:利用访问控制列表来限制网络中的不同主机之间的访问,通过在访问控制列 表中定义规则,可以让特定主机无法访问特定网络。
S3760_1(config-ipv6-acl)#permit ipv6 any any C、 校正系统时间
S3760_1#clock set 2:00:45 7 9 2006 第三步:测试网络连通性。
A、测试 PC1 到 PC2 的连通性,网络是通畅的,如图 1-30 所示。
图 1-30 网络连通性测试 B、 在端口上应用访问控制列表
验证测试:验证交换机接口状态 S3760_1#show ipv6 interfaces interface FastEthernet 0/1 is Up, ifindex: 1
address(es): Mac Address: 00:d0:f8:c1:b3:e3 INET6: 1::1 , subnet is 1::/64 Joined group address(es): ff02::2 ff01::1 ff02::1 ff02::1:ff00:1 INET6: fe80::2d0:f8ff:fec1:b3e3 , subnet is fe80::/64 Joined group address(es): ff02::2 ff01::1 ff02::1 ff02::1:ffc1:b3e3
实验九 IPv6 访问控制列表
【实验名称】 基于 IPv6 的 ACL
【实验目的】 掌握在 IPv6 环境下对访问控制列表的配置
【背景描述】 在测试了设备对动态路由协议的支持后,江苏三江源大学对设备能在骨干网络中正常
运行已经没有任何疑虑,但学校提出,为了校园网络的安全运行,希望能在网络中做一些 访问控制,例如限制学生主机访问教师主机,限制教师主机访问财务部门主机等。这些应 用都需要设备对访问控制列表的良好支持,在得知学校领导的想法后,小王主动提出测试 设备对访问控制功能的支持。
deny icmp host 1::2 host 2::2 permit ipv6 any any ! interface FastEthernet 0/1 no switchport ipv6 address 1::1/64 ipv6 enable no ipv6 nd suppress-ra ipv6 traffic-filter deny_ping in ! interface FastEthernet 0/2 no switchport ipv6 address 2::1/64 ipv6 enable no ipv6 nd suppress-ra time-range work periodic Daily 9:00 to 18:00 ! End
MTU is 1500 bytes ICMP error messages limited to one every 100 milliseconds
ICMP redirects are enabled ND DAD is enabled, number of DAD attempts: 1 ND reachable time is 30000 milliseconds ND advertised reachable time is 0 milliseconds ND retransmit interval is 1000 milliseconds ND advertised retransmit interval is 0 milliseconds ND router advertisements are sent every 200 seconds<240--160> ND router advertisements live for 1800 seconds
interface FastEthernet 0/2 is Up, ifindex: 2 address(es): Mac Address: 00:d0:f8:c1:b3:e4 INET6: 2::1 , subnet is 2::/64 Joined group address(es): ff02::2 ff01::1 ff02::1 ff02::1:ff00:1 INET6: fe80::2d0:f8ff:fec1:b3e4 , subnet is fe80::/64 Joined group address(es): ff02::2 ff01::1 ff02::1 ff02::1:ffc1:b3e4 MTU is 1500 bytes ICMP error messages limited to one every 100 milliseconds ICMP redirects are enabled ND DAD is enabled, number of DAD attempts: 1 ND reachable time is 30000 milliseconds ND advertised reachable time is 0 milliseconds ND retransmit interval is 1000 milliseconds ND advertised retransmit interval is 0 milliseconds ND router advertisements are sent every 200 seconds<240--160> ND router advertisements live for 1800 seconds
S3760_1(config)#int fa 0/1 S3760_1(config-if)#ipv6 traffic-filter deny_ping in 测试 PC1 到 PC2 的连通性,策略生效,网络不通,如图 1-31 所示。间没有校对会出现错误的实验结果。 【参考配置】
time-range work
第二步:设置 IPv6 访问控制列表。 A、 设置时间访问控制列表 S3760_1(config)#time-range work S3760_1(config-time-range)#periodic daily 9:00 to 18:00
B、 设置访问控制列表规则 S3760_1(config)#ipv6 access-list deny_ping S3760_1(config-ipv6-acl)#deny icmp host 1::2 host 2::2 time-range work
S3760_1#sh run System software version : RGNOS V4.11 Build Apr 29 2006 Release Building configuration... Current configuration : 483 bytes !
version 1.0 ! hostname S3760_1 vlan 1 ! ipv6 access-list deny_ping
【实验拓扑】 如图 1-29 所示网络拓扑,通过在交换机上配置IPv6 地址,掌握在IPv6 环境下对访问
控制列表的配置。
【实验设备】
图 1-29 IPv6 环境下对访问控制列表的配置拓扑
双协议栈交换机 1 台 IPv6 PC 2 台
双绞线 3 条
【预备知识】 双协议栈的概念 IPv6 地址结构 IPv6 主机地址配置 S3760 双栈交换机 IPv6 功能的开启
【实验步骤】 第一步:配置双协议栈交换机接口。 S3760_1(config)#interface fastEthernet 0/1 S3760_1(config-if)#ipv6 enable S3760_1(config-if)#no switchport S3760_1(config-if)#ipv6 address 1::1/64 S3760_1(config-if)#no ipv6 nd suppress-ra S3760_1(config-if)#no shutdown S3760_1(config-if)#exit S3760_1(config)#interface fastEthernet 0/2 S3760_1(config-if)#no switchport S3760_1(config-if)#ipv6 enable S3760_1(config-if)#ip address 2::1/64 S3760_1(config-if)#no ipv6 nd suppress-ra S3760_1(config-if)#no shutdown S3760_1(config-if)#exit
全控制的策略,例如学生机器到教师机器的访问,普通教师到学校财务主机的访问都是不 希望看到的。
分析 1:利用访问控制列表来限制网络中的不同主机之间的访问,通过在访问控制列 表中定义规则,可以让特定主机无法访问特定网络。
S3760_1(config-ipv6-acl)#permit ipv6 any any C、 校正系统时间
S3760_1#clock set 2:00:45 7 9 2006 第三步:测试网络连通性。
A、测试 PC1 到 PC2 的连通性,网络是通畅的,如图 1-30 所示。
图 1-30 网络连通性测试 B、 在端口上应用访问控制列表
验证测试:验证交换机接口状态 S3760_1#show ipv6 interfaces interface FastEthernet 0/1 is Up, ifindex: 1
address(es): Mac Address: 00:d0:f8:c1:b3:e3 INET6: 1::1 , subnet is 1::/64 Joined group address(es): ff02::2 ff01::1 ff02::1 ff02::1:ff00:1 INET6: fe80::2d0:f8ff:fec1:b3e3 , subnet is fe80::/64 Joined group address(es): ff02::2 ff01::1 ff02::1 ff02::1:ffc1:b3e3
实验九 IPv6 访问控制列表
【实验名称】 基于 IPv6 的 ACL
【实验目的】 掌握在 IPv6 环境下对访问控制列表的配置
【背景描述】 在测试了设备对动态路由协议的支持后,江苏三江源大学对设备能在骨干网络中正常
运行已经没有任何疑虑,但学校提出,为了校园网络的安全运行,希望能在网络中做一些 访问控制,例如限制学生主机访问教师主机,限制教师主机访问财务部门主机等。这些应 用都需要设备对访问控制列表的良好支持,在得知学校领导的想法后,小王主动提出测试 设备对访问控制功能的支持。
deny icmp host 1::2 host 2::2 permit ipv6 any any ! interface FastEthernet 0/1 no switchport ipv6 address 1::1/64 ipv6 enable no ipv6 nd suppress-ra ipv6 traffic-filter deny_ping in ! interface FastEthernet 0/2 no switchport ipv6 address 2::1/64 ipv6 enable no ipv6 nd suppress-ra time-range work periodic Daily 9:00 to 18:00 ! End
MTU is 1500 bytes ICMP error messages limited to one every 100 milliseconds
ICMP redirects are enabled ND DAD is enabled, number of DAD attempts: 1 ND reachable time is 30000 milliseconds ND advertised reachable time is 0 milliseconds ND retransmit interval is 1000 milliseconds ND advertised retransmit interval is 0 milliseconds ND router advertisements are sent every 200 seconds<240--160> ND router advertisements live for 1800 seconds
interface FastEthernet 0/2 is Up, ifindex: 2 address(es): Mac Address: 00:d0:f8:c1:b3:e4 INET6: 2::1 , subnet is 2::/64 Joined group address(es): ff02::2 ff01::1 ff02::1 ff02::1:ff00:1 INET6: fe80::2d0:f8ff:fec1:b3e4 , subnet is fe80::/64 Joined group address(es): ff02::2 ff01::1 ff02::1 ff02::1:ffc1:b3e4 MTU is 1500 bytes ICMP error messages limited to one every 100 milliseconds ICMP redirects are enabled ND DAD is enabled, number of DAD attempts: 1 ND reachable time is 30000 milliseconds ND advertised reachable time is 0 milliseconds ND retransmit interval is 1000 milliseconds ND advertised retransmit interval is 0 milliseconds ND router advertisements are sent every 200 seconds<240--160> ND router advertisements live for 1800 seconds
S3760_1(config)#int fa 0/1 S3760_1(config-if)#ipv6 traffic-filter deny_ping in 测试 PC1 到 PC2 的连通性,策略生效,网络不通,如图 1-31 所示。间没有校对会出现错误的实验结果。 【参考配置】
time-range work
第二步:设置 IPv6 访问控制列表。 A、 设置时间访问控制列表 S3760_1(config)#time-range work S3760_1(config-time-range)#periodic daily 9:00 to 18:00
B、 设置访问控制列表规则 S3760_1(config)#ipv6 access-list deny_ping S3760_1(config-ipv6-acl)#deny icmp host 1::2 host 2::2 time-range work
S3760_1#sh run System software version : RGNOS V4.11 Build Apr 29 2006 Release Building configuration... Current configuration : 483 bytes !
version 1.0 ! hostname S3760_1 vlan 1 ! ipv6 access-list deny_ping
【实验拓扑】 如图 1-29 所示网络拓扑,通过在交换机上配置IPv6 地址,掌握在IPv6 环境下对访问
控制列表的配置。
【实验设备】
图 1-29 IPv6 环境下对访问控制列表的配置拓扑
双协议栈交换机 1 台 IPv6 PC 2 台
双绞线 3 条
【预备知识】 双协议栈的概念 IPv6 地址结构 IPv6 主机地址配置 S3760 双栈交换机 IPv6 功能的开启
【实验步骤】 第一步:配置双协议栈交换机接口。 S3760_1(config)#interface fastEthernet 0/1 S3760_1(config-if)#ipv6 enable S3760_1(config-if)#no switchport S3760_1(config-if)#ipv6 address 1::1/64 S3760_1(config-if)#no ipv6 nd suppress-ra S3760_1(config-if)#no shutdown S3760_1(config-if)#exit S3760_1(config)#interface fastEthernet 0/2 S3760_1(config-if)#no switchport S3760_1(config-if)#ipv6 enable S3760_1(config-if)#ip address 2::1/64 S3760_1(config-if)#no ipv6 nd suppress-ra S3760_1(config-if)#no shutdown S3760_1(config-if)#exit