カテゴリ:
Cisco

今回はIPv6におけるアクセスリストの利用方法を確認します。現在、R1とR2はEIGRPを利用しています。

R1#show ipv6 interface b
FastEthernet0/0            [up/up]
    FE80::1
Loopback0                  [up/up]
    FE80::1
    2001:1::1

R2#show ipv6 interface brief
FastEthernet0/0            [up/up]
    FE80::2
Loopback0                  [up/up]
    FE80::2
    2001:2::2

R1#show ipv6 route eigrp
IPv6 Routing Table - 4 entries
Codes: C - Connected, L - Local, S - Static, R - RIP, B - BGP
       U - Per-user Static route, M - MIPv6
       I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary
       O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2
       ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2
       D - EIGRP, EX - EIGRP external
D   2001:2::/64 [90/156160]
     via FE80::2, FastEthernet0/0

R1#ping 2001:2::2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2001:2::2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/8/12 ms

アクセス制限をかけていない初期状態ではR1のF0/0とLo0両方からtelnetで接続が可能です。

R1#telnet 2001:2::2 /source-interface f0/0
Trying 2001:2::2 ... Open

User Access Verification

Password:
R2>

R1#telnet 2001:2::2 /source-interface lo0
Trying 2001:2::2 ... Open

User Access Verification

Password:
R2>show users
    Line       User       Host(s)              Idle       Location
   0 con 0                idle                 00:00:16   
* 98 vty 0                idle                 00:00:00 2001:1::1

  Interface    User               Mode         Idle     Peer Address

R2にIPv6でのアクセスリストを使い、接続の制限を行います。IPv6アクセスリストでは名前付きのみが利用可能です。今回は稼働状況を確認するためにlogを加えました。

R2(config)#ipv6 access-list TELNET
R2(config-ipv6-acl)#permit ipv6 2001:1::/64 host 2001:2::2 log
R2(config-ipv6-acl)#do sh ipv ac
IPv6 access list TELNET
    permit ipv6 2001:1::/64 host 2001:2::2 log sequence 10

アクセスリストをline vtyに適用します。

R2(config-ipv6-acl)#line vty 0 4
R2(config-line)#ipv6 access-class TELNET in

接続を確認します。まずf0/0(fe80::1)からでは接続が拒否されます。

R1#telnet 2001:2::2 /source-interface f0/0
Trying 2001:2::2 ...
% Connection refused by remote host

次にlo0(2001:1::1)からの接続は問題がないことが分かります。

R1#telnet 2001:2::2 /source-interface lo0
Trying 2001:2::2 ... Open

User Access Verification

Password:
R2

R2には下記のようにログが表示されます。

R2(config-ipv6-acl)#
Aug  1 06:06:28.675: %IPV6-6-ACCESSLOGP: list TELNET/10 permitted tcp 2001:1::1(13418) -> 2001:2::2(23), 1 packet

R2(config-ipv6-acl)#do sh ipv ac
IPv6 access list TELNET
    permit ipv6 2001:1::/64 host 2001:2::2 log (2 matches) sequence 10

アクセスリストを作成する際は名前付きのみが有効という点以外は、基本的にIPv4と同じ様に利用できます。

タグ :
#IPv6