1  配置IPv6访问控制列表  

1.1   配置IPv6访问控制列表   

1.1.1  过滤IPv6报文  

过滤IPv6报文帮助控制包在网络中的运动。这样的控制可以帮助限制网络传输并通过一定的用户或设备限制网络使用。为了从交叉指定的端口中使包有效或无效，本公司交换机提供了访问列表。可以用以下方式使用IPv6访问列表：

• 控制在端口上的包传输

• 控制虚拟终端线路访问

• 限制路由更新内容

本节概括了如何建立IPv6访问列表以及如何应用它们。

IPv6访问列表是应用IPv6地址的允许和禁止条件的有序集合。本公司路由交换机的ROS 软件在访问列表中逐个按规则测试地址。第一个匹配决定是否该软件接受或拒绝该地址。因为在第一个匹配之后，该软件停止了匹配规则，所以条件的先后次序是重要的。如果没有规则匹配，拒绝该地址。

在使用访问列表中有以下两个步骤：

(1)通过指定访问列表名及访问条件，建立访问列表。

(1)将访问列表应用到端口。

1.1.2  建立IPv6访问控制列表  

用一个字符串建立IPv6访问控制列表。

注意:

标准的访问列表和扩展的访问控制列表不能用相同的名字。

为了建立IPv6访问控制列表，在全局配置态执行下列命令。

在初始建立访问控制列表后，任何后续的增加部分若在deny或permit规则中不加sequence都默认放入表的尾部。换句话说，通过在deny/permit规则最前或者后面加上[sequence value]，你在指定的访问控制列表任何位置增加访问控制列表命令行。

同样，你可以使用no permit 和no deny命令从名字访问控制列表中删除项，或no sequence命令直接删除指定位置的规则。

注意：

当建立访问控制列表时，记住缺省时访问控制列表的结尾包含隐含的deny ipv6 any any语句。

在建立了访问控制列表后，必须将它应用到线路或端口上。如下一节“将访问控制列表应用到端口”所描述。　

1.1.3  将访问控制列表应用到端口  

当建立了访问控制列表后，可以将它应用到一个或多个端口上，可以应用到入口。

在端口配置态使用以下命令。

对于标准的入口访问控制列表，在接收到包之后，对照访问控制列表检查包的源地址。对于扩展的访问控制列表，该路由交换机也检查目标地址。如果访问表允许该地址，那么软件继续处理该包。如果访问表不允许该地址，该软件放弃包并返回一个ICMP主机不可到达报文。

如果指定的访问控制列表不存在，所有的包允许通过。　

1.1.4  IPv6访问控制列表示例  

在以下例子中，首先配置允许与主机A:B:C:D::E的单独目的主机连接，并禁止新来的TCP与主机IPv6源前缀为255:255:255::/48的SMTP端口连接，而最终的访问控制列表中后一规则次序在前一规则之前。

Switch_config#ipv6 access-list bdcom

Switch_config_ipv6acl#permit any host A:B:C:D::E sequence 20

Switch_config_ipv6acl#deny tcp any 255:255:255::/48 eq 25 sequence 10

Switch_config_ipv6acl#ex

Switch_config#show ipv6 access-lists bdcom

ipv6 access-list bdcom

   deny tcp any 255:255:255::/48 eq smtp sequence 10

   permit ipv6 any host A:B:C:D::E sequence 20