配置ACL6及IPv6报文过滤实验

已于 2025-06-29 18:44:47 修改
阅读量957 收藏 19
点赞数 24
CC 4.0 BY-SA版权
分类专栏: 入门到精通华为数通网络工程师 文章标签: 网络 运维 服务器
于 2025-06-25 11:22:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangx_yu533/article/details/148895222

学习精彩网络技术老师:华为、华三、锐捷、WLAN、IPv6等全套视频课程
学习精彩网络技术老师:华为HCIA和HCIP数通eNSP实战视频课
学习IPv6全套课程:IPv6组网实战从入门到精通视频课程

本举例介绍ACL6及IPv6报文过滤的配置过程。

组网需求

图1所示,路由器RouterA通过POS接口与RouterB相连。在RouterA上配置ACL6规则,禁止源地址为2001:db8::2的IPv6报文进入RouterA的接口POS1/0/0。

图1 配置ACL6及IPv6报文过滤组网图

配置思路

配置ACL6的思路如下:

定义ACL6编号

定义ACL6的具体规则

定义报文过滤分类、动作和策略

数据准备

为完成此配置例,需准备如下的数据:

ACL6编号

拒绝通过的源IPv6地址

操作步骤
  1. 分别在RouterA和RouterB上使能IPv6转发能力,并配置接口参数,确认连通性

# 配置RouterA。

<HUAWEI> system-view

[HUAWEI] sysname RouterA

[RouterA] ipv6

[RouterA] interface pos 1/0/0

[RouterA-Pos1/0/0] ipv6 enable

[RouterA-Pos1/0/0] ipv6 address 2001:db8::1 64

[RouterA-Pos1/0/0] undo shutdown

[RouterA-Pos1/0/0] quit

# 配置RouterA上的静态路由。

[RouterA] ipv6 route-static 2001:db8:1:: 64 2001:db8::2

# 配置RouterB。

<HUAWEI> system-view

[HUAWEI] sysname RouterB

[RouterB] ipv6

[RouterB] interface loopback 2

[RouterB-LoopBack2] ipv6 enable

[RouterB-LoopBack2] ipv6 address 2001:db8:1::1 64

[RouterB-LoopBack2] quit

[RouterB] interface pos 1/0/0

[RouterB-Pos1/0/0] ipv6 enable

[RouterB-Pos1/0/0] ipv6 address 2001:db8::2 64

[RouterB-Pos1/0/0] undo shutdown

[RouterB-Pos1/0/0] quit

# 从RouterB的POS1/0/0接口ping RouterA的POS1/0/0接口。

[RouterB] ping ipv6 -a 2001:db8::1

  PING 2001:DB8::1 : 56  data bytes, press CTRL_C to break

    Reply from 2001:DB8::1

    bytes=56 Sequence=1 hop limit=64  time = 80 ms

    Reply from 2001:DB8::1

    bytes=56 Sequence=2 hop limit=64  time = 50 ms

    Reply from 2001:DB8::1

    bytes=56 Sequence=3 hop limit=64  time = 40 ms

    Reply from 2001:DB8::1

    bytes=56 Sequence=4 hop limit=64  time = 30 ms

    Reply from 2001:DB8::1

    bytes=56 Sequence=5 hop limit=64  time = 1 ms

  --- 2001:DB8::1 ping statistics ---

    5 packet(s) transmitted

    5 packet(s) received

    0.00% packet loss

    round-trip min/avg/max = 1/40/80 ms

Ping操作执行成功,没有超时或异常延迟。

# 从RouterB的Loopback2接口ping RouterA的POS1/0/0接口。

[RouterB] ping ipv6 -a 2001:db8::1

  PING 2001:DB8::1 : 56  data bytes, press CTRL_C to break

    Reply from 2001:DB8::1

    bytes=56 Sequence=1 hop limit=64  time = 60 ms

    Reply from 2001:DB8::1

    bytes=56 Sequence=2 hop limit=64  time = 30 ms

    Reply from 2001:DB8::1

    bytes=56 Sequence=3 hop limit=64  time = 20 ms

    Reply from 2001:DB8::1

    bytes=56 Sequence=4 hop limit=64  time = 50 ms

    Reply from 2001:DB8::1

    bytes=56 Sequence=5 hop limit=64  time = 20 ms

  --- 2001:DB8::1 ping statistics ---

    5 packet(s) transmitted

    5 packet(s) received

    0.00% packet loss

    round-trip min/avg/max = 20/36/60 ms

Ping操作执行成功,没有超时或异常延迟。

  1. 在RouterA上配置一个ACL6规则,并在接口上应用该规则,用于拒绝来自2001:db8::2的IPv6报文

# 配置RouterA。

[RouterA] acl ipv6 number 3001

[RouterA-acl6-adv-3001] rule deny ipv6 source 2001:db8::2/128

[RouterA-acl6-adv-3001] quit

[RouterA] traffic classifier bb

[RouterA-classifier-bb] if-match ipv6 acl 3001

[RouterA-classifier-bb] quit

[RouterA] traffic behavior aa

[RouterA-behavior-aa] permit

[RouterA-behavior-aa] quit

[RouterA] traffic policy cc

[RouterA-trafficpolicy-cc] classifier bb behavior aa

[RouterA-trafficpolicy-cc] quit

[RouterA] interface pos 1/0/0

[RouterA-Pos1/0/0] traffic-policy cc inbound 

[RouterA-Pos1/0/0] quit

  1. 验证配置结果

# 从RouterB的POS1/0/0接口ping RouterA的POS1/0/0接口。

[RouterB] ping ipv6 -a 2001:db8::1

  PING 2001:DB8::1 : 56  data bytes, press CTRL_C to break

    Request time out

    Request time out

    Request time out

    Request time out

    Request time out

  --- 2001:DB8::1 ping statistics ---

    5 packet(s) transmitted

    0 packet(s) received

    100.00% packet loss

    round-trip min/avg/max = 0/0/0 ms

Ping操作执行不成功。

# 从RouterB的Loopback2接口ping RouterA的POS1/0/0接口。

[RouterB] ping ipv6 -a 2001:db8::1

  PING 2001:DB8::1 : 56  data bytes, press CTRL_C to break

    Reply from 2001:DB8::1

    bytes=56 Sequence=1 hop limit=64  time = 80 ms

    Reply from 2001:DB8::1

    bytes=56 Sequence=2 hop limit=64  time = 50 ms

    Reply from 2001:DB8::1

    bytes=56 Sequence=3 hop limit=64  time = 40 ms

    Reply from 2001:DB8::1

    bytes=56 Sequence=4 hop limit=64  time = 40 ms

    Reply from 2001:DB8::1

    bytes=56 Sequence=5 hop limit=64  time = 30 ms

  --- 2001:DB8::1 ping statistics ---

    5 packet(s) transmitted

    5 packet(s) received

    0.00% packet loss

    round-trip min/avg/max = 30/48/80 ms

Ping操作执行成功,没有超时或异常延迟。

IPv6 ACL's step is 5

配置文件

Router A的配置

#

 sysname RouterA

#

 ipv6

#

acl ipv6 number 3001

 rule 0 deny ipv6 source 2001:DB8::2/128

#

traffic classifier bb operator or

 if-match ipv6 acl 3001

#

traffic behavior aa

#

traffic policy cc

 undo share-mode

 classifier bb behavior aa

#

interface pos1/0/0

 link-protocol ppp

 undo shutdown

traffic-policy cc inbound

 ipv6 enable

 ipv6 address 2001:DB8::1/64

#

 ipv6 route-static 2001:DB8:1:: 64 2001:DB8::2

#

return

Router B的配置

#

 sysname RouterB

#

 ipv6

#

interface pos1/0/0

 link-protocol ppp

 undo shutdown

 ipv6 enable        

 ipv6 address 2001:DB8::2/64

#

interface LoopBack2

 ipv6 enable        

 ipv6 address 2001:DB8:1::1/64

#

return

IPv6--ACL6(IPv6访问控制列表--基本ACL6配置
m0_62017216的博客
01-19 2127
HCIE
25.5配置ACL过滤
qwefghs的博客
04-25 1471
基本访问控制列表的配置可以分为两部分:第1步:设置访问控制列表序列号,基本访问控制列表的序列号范围为2000-2999:第2步:定义规则,允许或拒绝来自指定网络的数据包,并定义参数:其中主要的参数含义如下:● deny:表示拒绝符合条件的报文;● permit:表示允许符合条件的报文通过;● counting:表示使能了规则匹配统计功能,缺省为关闭;● fragment:分片信息。定义规则仅对非首片分片报文有效,而对非分片报文和首片分片报文无效。
IPv6(12):使用ACL6限制网络访问
2401_83146012的博客
05-09 984
ACL6IPv6访问控制列表)是一种基于规则的网络安全技术,用于对IPv6数据包进行分类和过滤,实现网络流量的精细化控制。它通过允许或拒绝特定源地址、目的地址、协议类型、端口号等条件的数据包通过,帮助网络管理者保障网络安全、优化资源分配并提升性能。ACL6广泛应用于路由策略、流量管理、QoS等场景,如防止IPv6攻击、控制内网与外网通信权限等。其核心工作机制是通过规则匹配实现流量过滤,设备接收到IPv6数据包后,按预设规则逐条检查,直到找到匹配规则并执行相应动作。配置ACL6时需注意规则顺序,合理排序以确
ACL概念及基本配置实验
a2788656708的博客
12-23 8358
什么是ACL? 访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。 ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。 为什么使用ACLACL作为一个过滤器,设备通过应用ACL来阻止和允许特定流量的流入和流出,如果没有它,任何流量都会自由流入和流出,使得网络
eNSP配置和应用Ipv4/ipv6ACL
bell_love的博客
03-26 2562
Ipv4的ACL配置和应用 acl 2000 rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.0 quit (删除规则:undo rule 5)[ 配置基于ACL的流分类 traffic classifier cs1 if-match acl 2000 quit 配置流行为 traffic be...
IPv6--ACL6(IPv6访问控制列表--高级ACL6配置
m0_62017216的博客
01-19 1444
HCIE
35.华为路由器:ACL介绍及配置实验
热门推荐
迷逝
12-10 1万+
ACL的定义访问控制列表(Access Control Lists,ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。ACL作用访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。应用设备—路由器。
ACL配置与应用
Fanmeang的博客
06-02 928
通过前面章节的学习我们已经知道,针对不同的业务模块,匹配的ACL规则的不同情形,结果则可能完全不同,故我们在配置ACL规则时需要遵循一定的规则,具体如下。 如果配置ACL规则存在包含关系,应注意严格条件的规则编号需要排序靠前,宽松条件的规则编号需要排序靠后,避免报文因先命中宽松条件的规则而停止往下据徐匹配,从而使其无法命中严格条件的规则。(大家也可以理解为要把命中范围比较大的规则放在靠后的位置,需要精准匹配的规则放在靠前的位置) 根据各业务模块ACL默认动作的不同,ACL配置原则也不同。例如,在默认动
ACL介绍及Csico思科项目实操
2301_78274269的博客
05-26 1538
灵活性和可扩展性基本ACL路由器流量控制。
华为交换机报文捕获配置及技术原理
01-10
华为交换机报文捕获配置及技术原理 本文将详细介绍华为交换机报文捕获配置的技术原理和配置注意事项,帮助读者深入理解报文捕获功能的实现机理和配置方法。 报文捕获功能简介 报文捕获功能使设备能够捕获其收到的...
系统性能优化-6 TCP 三次握手
qq_56517253的博客
06-26 1021
TCP 三次握手中有哪些可以优化的地方,三次握手可能占据一个 Http 请求 10% 到 30% 的时间,该怎么优化?TFO 技术是什么?
【RTSP从零实践】3、实现最简单的传输H264的RTSP服务器
最新发布
wkd_007的博客
06-30 662
本文介绍了实现介绍怎么通过RTSP协议通信,将H264视频数据封装成RTP包并发送的,也提供了实现源码和运行结果,可以帮助读者快速了解怎样实现一个最简单的RTSP服务器
Windows为何在高速网络环境频繁“失速”?
syscloud123的博客
06-30 239
Windows文件共享速率大幅下降,根源在于接收缓冲区不足和系统层限制,通过调整缓冲区和关闭杀毒软件可提升速率。此外,老式机械硬盘IO瓶颈和单核CPU过载也会拖垮千兆网络吞吐,关键数据验证需要四步定位法,精确锁定速率黑洞。
安全运营中的漏洞管理和相关KPI
rm -rf /*
06-27 450
文章摘要:漏洞管理是企业网络安全的关键痛点。本文提出9个核心运维指标:1)漏洞扫描覆盖率(反映资产受检比例);2)漏洞变化率(修复与新发漏洞差值);3)平均漏洞暴露窗口期(发现到修复时长);4)逾期未修复漏洞数量;5)漏洞例外数量(豁免漏洞统计);6)漏洞重开率(识别虚假修复);7)补丁部署速率;8)补丁更新时长;9)平均修复时间。这些指标能系统评估漏洞管理效果,帮助优化修复流程,降低企业安全风险。(150字)
信息安全与网络安全---引言
2201_75328243的博客
06-29 663
第一章复习要点
基于 Java+MySQL实现TCP聊天工具
神仙别闹的自留地
06-27 725
该系统是基于JAVA语言开发的一款网络聊天工具,通过Socket实现TCP编程,使用多线程实现了多客户端的连接。模仿腾讯QQ的界面,功能较为简单,但是使用了最基本的网络编程技术,如socket、tcp、I/O阻塞、多线程、MySQL数据库等。该系统实现了用户的注册、登录以及与好友聊天的功能。用户注册:系统随机生成账号,用户按照要求填入相应的信息。用户登录:用户根据自己的账号和密码进行登录。好友聊天:登录成功后,点击好友列表中的好友进行聊天。1)系统整体。
提升异地网络性能的全面指南:QoS策略、CDN加速与WAN优化技术
AUROWAN的博客
06-27 1117
在面对日益复杂的网络环境和业务需求时,网络性能优化需要多种技术的结合。QoS策略、CDN加速和WAN优化设备相辅相成,可以有效提升异地网络的稳定性和传输效率。在未来,随着5G、边缘计算和AI技术的进一步发展,网络性能优化将迈向更加智能化的阶段。
在树莓派上用 .NET8.0 挂载TCP服务端
爱分享的小猿
06-25 312
在树莓派上用 .NET8.0 挂载TCP服务端
Kioptrix Level2
m0_73481504的博客
06-28 790
1.万能密码2.命令执行漏洞3.exp利用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

精彩网络技术

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值