IPv6访问列表配置手册(MP7500E/MP8800/MP8600系列路由器不支持)
目录
第1章简介 (3)
第2章IPV6访问列表简介 (4)
第3章IPV6访问列表配置描述 (5)
第4章访问列表配置实例 (11)
第5章访问列表显示与维护 (12)
第1章简介
本章主要描述实现IPv6安全功能的访问列表(Access Control Lists)控制技术。本章主要内容:
●访问列表技术简介
●访问列表配置描述
●访问列表应用实例
●访问列表显示与维护
第2章IPv6访问列表简介
访问列表(Access Control Lists),即为一组访问控制规则的表项的集合;作为路由器中的的一个强有力的基础工具,访问列表实现对报文的详细分类,其可用于安全过滤、流量标识、报文标识等。
访问列表使用名称来命名,以区分不同的访问列表,每个访问列表由一组按序号(Sequence)标识的访问控制规则组成,每条规则指明将要匹配的报文特征及相应的执行动作(Permit 或Deny)。执行动作Permit或Deny,其本意为允许或拒绝一个报文的通过,在不同的应用环境下,执行动作与应用相关,一般Permit即接受并处理报文,Deny则丢弃或忽略对报文的处理。
IPv6访问列表规则的匹配过程与IPv4访问列表规则的匹配过程相同,它按照列表规则的序号依次来进行匹配:一个报文与一条规则相匹配,则执行此条规则的相应动作,否则报文将继续与下一条规则进行匹配;若所有配置规则都没有匹配发生,则对报文执行默认的动作。
第3章IPv6访问列表配置描述
?IPv6访问列表的创建与删除
配置访问列表,并进入IPv6访问列表配置模式;使用本命令的no形式用来删除一个访问列表。[no] ipv6 access-list name
语法描述
name 访问列表名称,是最大长度为32字节的可打印字符
串
注意:访问列表名称有效长度为32字节,当输入超过32字节时,将自动截断为32字节。
执行ipv6 access-list name命令后,列表并不马上创建,只有当列表中配置了规则或remark信息
后,才真正创建列表;当将列表中所有配置规则或remark删除后,列表将自动删除。
访问列表规则的配置
配置访问列表的PERMIT、DENY规则,使用命令的no形式删除相应的规则。
[no] permit {protocol} {source-ipv6-prefix/prefix-length| any | host source-ipv6-address} [operator [port-number]] {destination-ipv6-prefix/prefix-length| any | host destination-ipv6-address} [operator [port-number]] [protocol-special-options] [dscp value] [flow-label value] [fragments] [routing] [reflect reflext-list-name[timeout value]] [time-range time-range-name] [log] [log-input] [sequence sequence-number] [no] deny {protocol} {source-ipv6-prefix/prefix-length| any | host source-ipv6-address} [operator [port-number]] {destination-ipv6-prefix/prefix-length| any | host destination-ipv6-address} [operator [port-number]] [protocol-special-options] [dscp value] [flow-label value] [fragments] [routing] [time-range time-range-name] [log] [log-input] [sequence sequence-number]
语法描述
permit 指定规则匹配后执行permit动作
deny 指定规则匹配后执行deny动作
protocol规则需要匹配的协议名称或协议号
source-ipv6-prefix/prefix-length
用来指定源或目的需要匹配的网络地址范围destination-ipv6-prefix/prefix-length
any 用来表示源或目的地址匹配时匹配任何地址,此关键
字配置等同于配置地址为::/ 0
host source-ipv6-address
用来指定源或目的需要匹配的主机地址host destination-ipv6-address
operator [port-number] 此选项与协议相关,用来指定需要匹配的端口范围
等。
operator可以有如下一些值:
eq 匹配特定端口的报文
neq 匹配特定端口除外的报文
gt 匹配端口大于某值的报文
lt 匹配端口小于某值的报文
range 匹配端口处于某范围的报文
wildcard 匹配端口符合某掩码规则的报文protocol-special-options 指定协议相关的选项,对tcp,icmp等协议分别有不
同的选项
dscp value指定匹配特定优先级的报文,优先级值范围0 ~ 63
配置时也可以通过名称来指定优先级,一些优先级名
称与值之间的对应关系
flow-label value指定匹配特定流的报文,流标签的取值范围0 ~
1048575
fragments 指定匹配含分片选项报文
routing 指定匹配含路由选项报文
reflect reflex-list-name [timeout value] 指定依据匹配的报文建立相应的自反列表,timeout
用来设置建立的相应规则的超时失效时间,自反选项
只对pemit规则有效
time-range time-range-name指定规则相关的时间域列表,当配置时间域列表后,
只在当前时间域有效的时候,规则生效,否则规则不
生效
log 设置规则匹配后记录相应的日志信息
log-input 设置规则匹配后记录相应的日志信息,并在规则首次
匹配时,打印匹配的报文内容信息
sequence sequence-number用来设置规则的序号,序号配置范围1 ~ 4294967294
访问sequence序号的设置,可以在规则最后来设置,
也可以在最前面进行设置,通过序号的方式,可以方
便的进行规则的插入等
注:
1、protocol-special-options为协议特定的一些选项,列表如下:
进行的,通过序号的方式,可以更方便的组织规则。
4、在配置规则时,可以不明确的指定规则sequence序号,此种情况下,将自动加到当前规则列表
最后,规则的序号为最后规则的序号加10。
在permit/deny规则配置时,sequence sequence-number命令选项可以放到末尾来进行设置,也可以放到最开始来设置,即permit/deny命令还有如下的形式:
[no] sequence sequence-number permit {protocol} {source-ipv6-prefix/prefix-length | any | host source-ipv6-address} [operator [port-number]] {destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address} [operator [port-number]] [protocol-special-options] [dscp value] [flow-label value] [fragments] [routing] [reflect reflext-list-name [timeout value]] [time-range time-range-name] [log] [log-input]
[no] sequence sequence-number deny {protocol} {source-ipv6-prefix/prefix-length | any | host source-ipv6-address} [operator [port-number]] {destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address} [operator [port-number]] [protocol-special-options] [dscp value] [flow-label value] [fragments] [routing] [time-range time-range-name] [log] [log-input]
在删除一条规则时,可以直接使用规则命令的no形式,也可以直接使用 no sequence sequence-nubmer命令来进行。
自反访问列表规则的配置
自反访问列表主要为通过匹配Permit访问规则的报文特征而建立的一组访问规则,它是访问列表的一种扩展功能,主要用来实现类似如下的访问控制:网络A与网络B通过路由器相连接,网络A可以主动的访问网络B,但网络B不能主动的来访问网络A。
1、自反访问列表的建立
建立自反访问列表,需要在访问列表规则配置时,在permit规则中通过reflect reflex-list-name [timeout value]命令选项来设置。
reflex-list-name 即为要创建的自反访问列表名称,当此permit规则被匹配时,则根据相应的匹配报文特征创建列表,创建相应的permit规则;其中timeout 可用来设置创建的此自反规则的超时时间,如果此自反规则在timeout时间内没有任何匹配,规则将自动删除。
2、自反访问列表的引用
通过evaluate 命令来引用一个自反访问列表,其相应的no命令形式来删除对一个自反访问列表的引用。
[no] [sequence sequence-number] evaluate reflex-list-name
语法描述
evaluate 命令关键字,用来指示引用一个自反访问列表
reflex-list-name 指定要引用的自反访问列表名称
注:evaluate规则也有序号标识其在整个访问列表中的位置,规则删除也可以直接使用no sequence sequence-number的形式来进行。
?基于时间域的访问列表规则的配置
在实际的使用环境中,根据安全控制的需要,可能需要在某一段时间内控制一些通信的进行,在另一段时间控制其他一些通信的进行,对于这种情况,可以使用基于时间域的访问列表。
1、基于时间域的访问规则
在配置访问列表规则时,通过在命令选项中加上time-range time-range-name 来设置规则时间域相关,其中time-range为关键字,time-range-name为时间域名称。
时间域相关的访问规则,在当前时间域时间范围有效时,规则生效,即参与匹配,否则规则不生效。
2、基于时间域的访问列表
除可以配置规则时间域相关外,也可以通过命令来设置整个访问列表时间域相关。
[no] ipv6 time-range time-range-name access-list access-list-name
语法描述
time-range-name 时间域控制列表名称
access-list-name 访问列表名称
?访问列表REMARK信息配置
为方便用户,可通过remark命令为访问列表规则设定描述信息
[sequence sequence-number] remark remark-line
no [sequence sequence-number] remark remark-line
语法描述
remark 关键字,指明设置描述信息
remark-line 访问列表描述信息;描述信息最长可以设置100字
符,超过长度时,将自动截断
?应用访问列表配置
访问列表作为系统中的一个基础设施,对报文进行分类,可以供其他各功能模块使用,本节主要介绍在接口上应用访问列表实现包过滤的配置描述。
使用访问列表实现包过滤应用配置主要有以下步骤:
1.创建访问列表
2.配置访问列表规则
3.在接口上绑定访问列表
可以通过以下命令在接口上配置绑定访问列表,使用命令相应的no形式解除绑定。ipv6 traffic-filter access-list-name {in | out}
no ipv6 traffic-filter access-list-name {in | out}
语法描述
access-list-name 指定接口上要绑定的访问列表名称
in out 指定访问列表在接口上的绑定方向,即对报文进行入口过滤还是出口过滤
注意:
在接口上绑定访问列表对报文进行过滤时,有如下报文需要注意:IPv6 nd报文完成类似IPv4中ARP 功能,在访问列表中若没有明确配置Deny此类nd报文或所有报文时,这些报文将被Permit。
用户在配置访问列表接口绑定时,访问列表可以先不存在,此时,过滤并不生效,在之后配置了访问列表后,接口过滤生效。
第4章访问列表配置实例
本节将以一个完成的实例,来演示访问列表规则的配置以及接口绑定访问列表实现报文过滤的配置。
在如上的一个简单网络中,我们来实现禁止网络中所有地址为IPv6映射地址的报文通过路由器,可以采用如下的步骤来配置。(假定路由器f0接口与图中网络连接)
?配置访问列表
命令描述router#configure terminal 进入全局配置模式
route(config)#i pv6 access-list list-test配置访问列表,进入IPv6访问
列表配置模式
route(config-ipv6-acl)#reamark Disallow mapped addresses, as they shouldn't be on the wire 设置remark信息,禁止映射地址报文
route(config-ipv6-acl)# deny ipv6 from ::ffff:0.0.0.0/96 to any禁止源地址为::ffff.0.0.0.0/96
的报文通过
route(config-ipv6-acl)# deny ipv6 from any to ::ffff:0.0.0.0/96禁止目的地址
为::ffff.0.0.0.0/96的报文通过route(config-ipv6-acl)#permit ipv6 any any设置默认规则,允许所有报文
通过
route(config-ipv6-acl)#exit 退出访问列表配置模式
?接口上绑定访问列表
命令描述
router#configure terminal 进入全局配置模式
route(config)#interface f0 进入接口配置模式,配置f0接
口
route(config-if-f0l)#ipv6 traffic-filter list-test in在接口in方向上绑定访问列表route(config-if-f0l)#exit 退出接口配置模式
第5章访问列表显示与维护
查看访问列表信息
用来显示访问列表信息,以及规则的匹配信息
show ipv6 access-list [access-list-name]
语法描述
access-list-name 指定要显示的访问列表名称,若不指定访问列表名称,
将显示所有配置的访问列表
以下为某系统上配置显示情况:
Router#show ipv6 access-list
显示结果:
ipv6 access-list test
rules: 8; reference: 0; state: active
default: deny; nomatch: 0 permited (0 addrs), 0 denied (0 addrs).
sequence 10 permit ipv6 30::1/64 any
match: 0 packets, 0 bytes, 0 addrs; last match: 0; state: active
sequence 20 permit ipv6 20::1/64 any reflect reflist
match: 0 packets, 0 bytes, 0 addrs; last match: 0; state: active
sequence 30 permit ipv6 10::1/64 any reflect refguest time-range worktime
match: 0 packets, 0 bytes, 0 addrs; last match: 0; state: active
sequence 40 permit ipv6 any 70::1/64
match: 0 packets, 0 bytes, 0 addrs; last match: 0; state: active
sequence 50 permit icmp any any nd-ns
match: 0 packets, 0 bytes, 0 addrs; last match: 0; state: active
sequence 60 permit icmp any any nd-na
match: 0 packets, 0 bytes, 0 addrs; last match: 0; state: active
sequence 70 permit icmp any any nd-redirect
match: 0 packets, 0 bytes, 0 addrs; last match: 0; state: active
sequence 80 deny ipv6 any any
match: 0 packets, 0 bytes, 0 addrs; last match: 0; state: active
描述与分析:
显示结果主要为列表相应的各配置规则,以及应用匹配该规则的统计计数。
?查看自反访问列表信息
用来显示访问列表信息,以及规则的匹配信息
show ipv6 reflexive-list [reflex-list-name]
语法描述
reflex-list-name 指定要显示的自反访问列表名称,若不指定列表名称,
将显示所有创建的自反访问列表
以下为某系统上配置显示情况:
Router#show ipv6 reflexive-list
显示结果:
ipv6 reflexive-list refguest
rules created: 0 deleted: 0, failed: 0; reference: 1.
ipv6 reflexive-list reflist
rules created: 0 deleted: 0, failed: 0; reference: 1.
描述与分析:
显示结果主要为匹配自反规则后所创建、删除的各规则计数。
?查看接口上访问列表绑定
show ipv6 traffic-filter interface [interface-name]
语法描述
interface-name 指定要查看的接口名称,当没有指定接口名称时,将显
示所有配置访问列表绑定的接口的绑定信息
以下为某系统上配置显示情况:
Router#show ipv6 traffic-filter interface
显示结果:
Interface gigaethernet1
Outbound traffic filter is not set
Inbound traffic filter is rest
Interface gigaethernet0
Outbound traffic filter is test
Inbound traffic filter is not set
描述与分析:
显示内容为接口上入方向、出方向的绑定配置情况。
IPv4的局限性: 1.地址空间的局限性:IP地址空间的危机由来已久,并正是升级到IPv6的主要动力。 2.安全性:IPv4在网络层没有安全性可言,安全性一直被认为是由网络层以上的层负责。 3.自动配置:对于IPv4节点的配置比较复杂,让很多普通用户无所适从。 4.NAT:破坏了Internet端到端的网络模型。 5.由于IPv4地址分配杂乱无章,没有层次性,网络设备需要维护庞大的路由表项。 6.IPv4包头过于复杂,使得网络节点处理的效率不高。 IPV6的好处: 1、超大的地址空间 2、全球可达性,不需要再用NAT 3、全球重新部署,有规划,易于实现聚合 4、能自动配置,实现即插即用 5、方便的进行重编址 6、包头简单,通过扩展包头技术可实现以后的新技术扩展 ipv4 路由转发的时候,ip包会改变checksum(校验和) 和TTL(每经过一个路由器TTL值减一)ipv6 只变TTL,没有校验和,没有广播,组播代替广播。所以没有ARP。IPv4中的广播(broadcast)可以导致网络性能的下降甚至广播风暴(broadcast storm).在IPv6中,就不存在广播这一概念了,取而代之的是组 播.(multicast)和任意播(anycast),任意播也称为泛播. IPv6地址表示 我们知道,IPv4地址长度为32位(4个字节)。书写IPv4的地址是用一个字节来代表一个无符号十进制整数,四个字节写成由3个点分开的四个十进制数,例如: 10.1.123.56 对于128位的IPv6地址,定义相似的表示方法是必要的。考虑到IPv6地址的长度是原来的四倍,RFC1884规定的标准语法建议把IPv6地址的128位(16个字节)写成8个16位的无符号整数,每个整数用四个十六进制位表示,这些数之间用冒号(:)分开,例如: 3ffe:3201:1401:1:280:c8ff:fe4d:db39 从上面的例子我们看到了手工管理IPv6地址的难度,也看到了DHCP和DNS 的必要性。为了进一步简化IPv6的地址表示,可以用0来表示0000,用1来表示0001,用20来表示0020,用300来表示0300,只要保证数值不便,就可以将前面的0省略。比如: 1080:0000:0000:0000:0008:0800:200C:417A 0000:0000:0000:0000:0000:0000:0A00:0001 可以简写为: 1080:0:0:0:8:800:200C:417A 0:0:0:0:0:0:A00:1 另外,还规定可以用符号::表示一系列的0。那么上面的地址又可以简化为:
操作手册 IP路由分册 IPv6 静态路由目录 目录 第1章 IPv6静态路由配置......................................................................................................1-1 1.1 IPv6静态路由简介.............................................................................................................1-1 1.1.1 IPv6静态路由属性及功能........................................................................................1-1 1.1.2 IPv6缺省路由..........................................................................................................1-1 1.2 配置IPv6静态路由.............................................................................................................1-2 1.2.1 配置准备..................................................................................................................1-2 1.2.2 配置IPv6静态路由...................................................................................................1-2 1.3 IPv6静态路由显示和维护..................................................................................................1-2 1.4 IPv6静态路由典型配置举例(路由应用).........................................................................1-3 1.5 IPv6静态路由典型配置举例(交换应用).........................................................................1-5
1.实验目的 1.掌握Ipv6的基本知识; 2.了解Ipv6静态路由的配置原理和方法; 3.了解基于Ipv6的RIPng的配置原理和方法; 4.利用抓包工具抓取数据包,分析基于Ipv6的IP字段的具体含义 2.实验环境(软件条件、硬件条件等) 2台MSR3040路由器、2台S3610交换机、4台pc; 抓包工具wireshark。 3.实验原理与方法(架构图、流程图等) 1.IPv6: IPv6是“Internet Protocol Version 6”的缩写,它是IETF设计的用于替代现行 版本IP协议-IPv4-的下一代IP协议。 2.IPv6特点: 1)IPV6地址长度为128比特,地址空间增大了2的96次方倍; 2)灵活的IP报文头部格式。使用一系列固定格式的扩展头部取代了IPV4中可变 长度的选项字段。IPV6中选项部分的出现方式也有所变化,使路由器可以简 单路过选项而不做任何处理,加快了报文处理速度; 3)IPV6简化了报文头部格式,字段只有7个,加快报文转发,提高了吞吐量 4)提高安全性。身份认证和隐私权是IPV6的关键特性; 5)支持更多的服务类型; 6)允许协议继续演变,增加新的功能,使之适应未来技术的发展; 3.IPv6分组格式: 1)版本(Version)字段:其含义和长度与IPv4相同,对IPv6其取值为“6”(参 见RFC 1700)。 2)用户数据等级(Traffic Class)字段:此8比特字段是IPv4中“Type of Service” 字段的替代物,其目的在于为发起节点和中转节点(Router)指明此IPv6分组传 输服务级别或优先级别。 3)数据流标签(Flow Label )字段:此20比特字段意在为发起节点制定对分组流 的处理方式的机制,如非缺省服务质量等级、“实时”数据流等。所谓数据流是在
ipv6地址一般设置多少_ipv6地址设置指南 IPv6(Internet Protocol Version 6)是IETF(互联网工程任务组)设计的用于替代现行版本IP协议(IPv4)的下一代IP协议。目前IP协议的版本号是4(简称为IPv4),它的下一个版本就是IPv6。随着IPv4资源的急剧紧缺,相信在不久的未来,IPv6将成为最一代互联网地址的标准。与IPv4相比,IPv6具有丰富的地址资源,它由用点号分隔的六段数字组成。 认识IPv6地址IPv4地址是类似A.B.C.D 的格式,它是32位,用\。\分成四段,用10进制表示;而IPv6地址类似X:X:X:X:X:X:X:X的格式,它是128位的,用\:\分成8段,用16进制表示;可见,IPv6地址空间相对于IPv4地址有了极大的扩充。 一个完整的IPv6地址的表示法:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx 例如:2001:0000:1F 1F :0000:0000:0100:11A 0:ADDF 为了简化其表示法,每段中前面的0可以省略,连续的0可省略为\::\,但只能出现一次。例如: 1080:0:0:0:8:800:200C :417A 可简写为1080::8:800:200C :417A FF01:0:0:0:0:0:0:101 可简写为FF01::101 0:0:0:0:0:0:0:1 可简写为::1 0:0:0:0:0:0:0:0 可简写为:: 类似于IPv4中的CDIR表示法,IPv6用前缀来表示网络地址空间,比如: 2001:251:e000::/48 表示前缀为48位的地址空间,其后的80位可分配给网络中的主机,共有2的80次方个地址。 2.IPv6地址作用域和地址分类IPv6地址指定给接口,一个接口可以指定多个地址。IPv6地址有作用域: link local地址本链路有效 site local地址本区域(站点)内有效,一个site通常是个校园网 global地址全球有效,即可汇聚全球单播地址
Ipv6基础配置 以Ipv4为核心技术的internet获得巨大成功,促使IP技术得到广泛应用。然而,随着internet的迅猛发展,Ipv4技术的不足也日益凸显,特别是地址空间的不足直接限制了IP技术应用的进一步发展。 Ipv6(internetprotocolversion 6)是网络层协议的第二代标准协议,也被称为Ipng(IP nextgeneration,下一代IP协议)。它是IETF设计的一套规范。Ipv6和Ipv4之间最显著的区别就是IP地址长度从原来的32bit变为128bit,地址空间大的惊人,有一种夸张的说法是:地球上的每一粒沙子都可以拥有一个Ipv6地址。Ipv6以其简化的报文头格式、充足的地址空间、层次化的地址结构、灵活的扩展头、增强的邻居发现机制将在未来的市场竞争中充满活力。 128bit的Ipv6地址被分为8组,每组的16bit用4个十六进制字符(0~9)·,A~F来表示,组和组之间用冒号隔开。比如2031:0000:130F:0000:0000:09C0:876A:130B,为了书写方便,每组中的前导“0”都可以省略。地址中包含的连续两个或多个均为0的组,可以用双冒号“::”来代替,这样可以压缩Ipv6地址书写时的长度。但是在一个Ipv6地址中只能使用一次双冒号,否则当计算机将压缩后的地址恢复成128bit时,无法确定每段中0的个数。所以,上述地址可以简写为 2031:0:130F:;9C0:876A:130B。 一个Ipv6的地址可以分为两部分,比如2001:A304:6101:1:0000:E0:F726:4E58/64,前64bit是网络前缀,相当于Ipv4地址中的网络ID,后64bit相当于IPV4地址中的主机ID。 配置IPV6单播地址 根据实验编址表在PC上配置相应的IPV6地址。模拟器中的PC上已经默认开启了Ipv6功能,即已经自动生成了链路本地地址。 在路由器系统视图模式下全局开启Ipv6功能 [R1]ipv6 在R1上的GE0/0/0接口下使用ipv6enable命令开启ipv6功能。 [R1]interface GigabitEthernet 0/0/0 [R1-GigabitEthernet0/0/0]ipv6 enable 在R1的GE0/0/0接口上配置自动生成的链路本地地址。 [R1-GigabitEthernet0/0/0]ipv6 address auto link-local ipv6地址自动链接本地 配置完成后,在R1上查看GE0/0/0接口所配置的自动生成的链路本地地址。 可以看到当前GE0/0/0接口下的链路本地地址. 在PC1上测试与R1链路本地地址间的连通性。
一、Windows操作系统下IPv6配置方法 1、使用IPV6的准备 用户使用IPV6,应先在个人电脑上安装IPV6协议,以操作系统XP/2003为例(Windows2003内置了IPv6协议栈,推荐WindowsXP至少升级为SP1),方法如下: (1)方法一: 本地连接-〉属性-〉安装-〉协议-〉Microsoft-〉TCP/IP 版本 6 如图所示,选择安装“TCP/IP版本6”。 安装完成后,查看本地连接属性,可发现已添加了TCP/IP 版本6的项目:
(2)方法二: 点击开始-〉运行,输入cmd后确定,在调用的命令行窗口中输入ipv6 install,如下图所示:
安装完成后,如下图所示: 2、直接接入IPV6网络用户 采用以上方法完成ipv6协议的安装后,对于前述可直接接入IPV6网络区域的用户,可直接获取到2001:da8为前缀的IPV6地址,通过以下方法查看验证:
(1)获取正常的ipv6地址 点击开始-〉运行,输入cmd后确认,在调用的命令行窗口中输入ipconfig。 如图所示,该电脑已获取到可使用的IPV6地址。 (2)没有获取到ipv6地址 如图所示,如果只能看到fe80::为前缀的IPV6地址,则表示没有可用的IPV6网络,须配置IPV4toIPV6隧道来使用IPV6。 3、校外用户通过VPN方式接入IPV6网络 https://https://www.doczj.com/doc/bd9588153.html, 4、配置通过ISATAP隧道的方式接入IPV6网络
(1)校外用户也可通过在个人电脑配置ISATAP隧道建立的主机—路由器隧道,接入IPV6网络。配置方法如下: 打开cmd命令行窗口下,依次输入如下命令: netsh>int netsh interface>ipv6 netsh interface>ipv6>install netsh interface ipv6>isatap netsh interface ipv6 isatap>set router 210.34.219.49 如下所示: 此后,通过 ipconfig应该可以看到一个 2001:da8为前缀的v6地址,即可访问IPv6资源。
IPV6无状态自动配置介绍 IPV6无状态自动配置就是在一定周期内给PC发送RA报文(RA报文里面含有前缀信息),PC获取到前缀信息后会自动生成该前缀信息网段的IPv6地址。 页面: 生效接口:PC所在组播的三层接口。 发送间隔:最大间隔不长于1800S不短于4S,默认值600S。最小间隔不短于3S不长于0.75*最大间隔,默认值是0.33*最大间隔。(RFC4861规定) 前缀信息:页面: 前缀:IPV6地址的前缀。 Onlink标志:此标记位为1则表明该路由器与PC在同一链路上。 无状态配置:此标记位为1则PC会使用该前缀信息,标记为0则不使用该前缀信息。 有效时间:该前缀的有效时间(Oxffffffff)全1表示无限,默认值2592000s(30天)。 固定则时间不衰减,递减则时间在将来的某一刻有取值为0的时候。(RFC4861定义) 优选时间:优选时间(Oxffffffff)全1表示无限,默认值604800s(7天)。 有效时间必须大于优选时间(RFC4862定义) 前缀信息里面可以添加多条前缀,PC收到后为逐条生成IPV6地址。
其它配置:页面: Managed标记与other标记:M标记为1,无论O标记为1or0,从DHCPV6获取地址。 M标记为1,O标记为1,IPV6无状态自动配置获取前缀信息,DNS及其它从DHCP获取。M标记为1,O标记为0,IPV6无状态自动配置获取前缀信息,DHCP没有DNS及其它信息。 TTL:此TTL为条数,应小等于255。 链路MTU:定义链路最大传输单元。如果该值为0,则不发送该选项 路由生存周期:此条路由通过的存在时间。 邻居可达时间:实时计算(开始配置为初始值) 邻居重传时间:当解析地址或当探测邻居的可达性时,重复向邻居发送NS消息的时间间隔。
IPv6 配置 1.1IPv6基本配置 首先在全局模式,开启ipv6单播转发 Router(config)#ipv6 unicast-routing 此后可以开启Cisco的快速转发 Router(config)#ipv6 cef 1.1.2 链路上启用ipv6 对于一个节点而言,它需要给每个网络接口配置本地链路地址,还需要回环地址,所有节点多播地址,分配的可聚合全球单播地址,所用于每个单播和任意播地址的被请求节点多播地址以及主机所属的所有组的多播地址。对于一个路由器,除此之外还需要所有路由器的多播地址,子网路由器的任意播地址以及其他任意播地址等。路由器的配置如下: A:静态地址配置 首先需要配置一个接口的链路地址 Router(config-if)#ipv6 address FE80:0:0:0:2123:0136:0789:0abc link-local 此后需要配置可聚合的全球单播地址 Router(config-if)#ipv6 address 2001:090:0:1:0:0:0:1/64 最后需要配置本地站点地址: Router(config-if)#ipv6 address FEC0:090:0:1:0:0:0:1/64 B:回环地址配置 和普通地址配置一样,仅需要在回环接口上配置ipv6接口地址 Router(config)#interface loopback 0 Router(config-if)#ipv6 address FEC0:090:0:1:0:0:0:1/128 C:使用EUI-64配置 可以使用EUI-64的方式配置ipv6地址。EUI-64通过一种影射关系,例如某接口的MAC地址为0013.122.5678,EUI-64的编址方式为,在最中间的插入FFFE,例如该地址的EUI-64地址就为0013.12FF.FE2.5678。EUI-64的配置方法如下:首先可以定义一个前缀 ipv6 general-prefix prefix-name [ipv6-prefix/prefix-length] 然后在接口上配置 Ipv6 addreass prefix-name:ip D:配置前缀例如: Ipv6 general-prefix kaka 2001:090:0:1::/64 Ipv6 address kaka::1/64
IPv6简介..................................................................................................................................................................................2 IPv6如何配置 有关本文档引用的CLI 命令的详细使用信息及说明,请参照IPv6 命令集。 IPv6简介 ernet 的迅速增长以及IPv4地址空间的逐渐耗尽,IPv4的局限性就越来越明显。 对新点,Internet 工程任务工v6的主要特点: 更大的地址空间 32位扩展到128位,即Ipv6有2^128-1个地址,IPv6采用分级地址模式,支持从internet 核心 简化了报头格式 计原则是力图将报文头开销降到最低,因此将一些非关键性字段和可选字段从报文头中移出, 目前关于IPv6的实现..............................................................................................................................................................3 关于IPv6的基本信息.. (4) IPv6地址格式...................................................................................................................................................................4 IPv6地址类型. (4) 单播地址(Unicast Addresses)...................................................................................................................................5 组播地址( Multicast Addresses)...............................................................................................................................7 泛播地址( Anycast Addresses).................................................................................................................................8 包头结构...................................................................................................................................................................8 IPv6的路径MTU 发现....................................................................................................................................................9 IPv6 邻居发现. (10) 邻居请求报文(Neighbor Solicitation)....................................................................................................................10 路由器公告报文(Router Advertisement) (11) IPv6 (11) 配置IPv6的地址和IPv6转发......................................................................................................................................11 配置ICMPv6的重定向功能.........................................................................................................................................13 配置静态邻居.................................................................................................................................................................14 配置静态路由.................................................................................................................................................................14 配置地址冲突检测.........................................................................................................................................................16 配置路由器的其它接口参数.........................................................................................................................................17 IPv6的监控.. (18) 随着Int 一代互联网络协议(Internet Protocol Next Generation - IPng )的研究和实践已经成为热作小组(IETF)的IPng 工作组确定了IPng 的协议规范,并称之为"IP 版本6"(IPv6),该协议的规范在RFC2460中有详细的描述。 IP 地址长度由IPv4的主干网到企业内部子网等多级子网地址分配方式。 新IPv6报文头的设放到扩展的报文头中,虽然IPv6地址长度是IPv4的四倍,但包头仅为IPv4的两倍。改进的IPv6报文头在路由器转发时拥有更高的效率,例如IPv6报文头中没有校验和,IPv6路由器在转发中不需要去处理分片(分片由发起者完成)。
IPv6中的无状态地址自动配置初探 邹 妍 李玉萍 吴国强 刘 亮 (中国地震局地壳应力研究所 北京 100085) 摘要 本文主要介绍了I Pv6中的无状态地址配置的过程,并描述了这个过程中 所涉及到的邻居发现协议消息,以及节点上要运行的DAD 进程。I Pv6中的无状 态地址自动配置机制所要实现的目标是:不需要手动配置连接到网络上的主机, 甚至在具有多个网络和路由器的大的站点中,也不需要DH CP 服务器来配置主 机。这正是IPv6在地址自动配置方面所增加的新功能;在文章结尾对I Pv6的地 址自动配置目前的发展趋势作了展望。 一、引 言 IPv6(I n ter net Protoco lVersion 6)是Internet 网络协议版本6的简称,它是现在广泛使用的I Pv4的升级替换版本。I Pv6对I Pv4进行了许多的功能改进,例如,扩展编址功能,以及本文所要介绍的无状态地址自动配置机制,还有报头格式的简化,改进的扩展和选项支持,身份验证和私密性的扩展,以及流标签功能。也正是这些改进使得I Pv6克服了I Pv4的诸多的弊端,提供了广泛的地址空间,支持新的网络服务(Q oS 等),增强了移动性和安全性,使I Pv6成为下一代互联网的核心协议。目前,从I Pv4升级过渡到I Pv6的工作正在世界各地进行。 IPv6的网络地址除了手工分配以外,还有两种自动配置方式:无状态地址自动配置(Stateless AddressAuto confi g urati o n)和有状态地址自动配置(StatefulAddressAuto configu rati o n)。 有状态地址自动配置(S tatefu lAddress Auto confi g ura ti o n)是由I Pv4下的动态主机配置协议(Dyna m i c H ost Configurati o n Protoco,l DH CP)转化而来的,I Pv6继承并改进了I Pv4的这种自动配置服务,并将其称为有状态地址自动配置。DH CP (Dyna m ic H ost Con fi g uration Protoco,l 动态主机配置协议)的问题在于,作为状态自动配置协议,它要求安装和管理DH CP 服务器,并要求接受DH CP 服务的每个新节点都必须在服务器上进行配置。也就是说,DHCP 服务器保存着它要为之提供配置信息的节点列表,如果节点不在列表中,该节点就无法获得I P 地址。DHCP 服务器还保持着使用该服务器的节点的状态,因为该服务器必须了解每个I P 地址使用的时间,以及何时I P 地址可以进行重新分配。详细介绍请查阅http://www.iet.f o r g 上的DH CPv6草案,本文不详细介绍这种方式。 对于大多数个人或者小型机构来说,与有状态地址自动配置机制相比,无状态地址自动配置机制更容易实现。因为,无状态地址自动配置(Stateless Address Au to configura ti o n)[2]主要靠主机监听路由器公告得到全局地址前缀,再加上自己的接口I D 生成一个全193 2006年 地壳构造与地壳应力文集(19)
北京师范大学于2005 年 3 月30 日经CERNET 华北主节点北京邮电大学正式连入全球IPv6 互联网络。目前北师大校园网的IPv6 环境也已搭建完毕,并为校内各个单位分配了IPV6 地址。下一代互联网以IPv6 技术为核心,其丰富的地址资源、高速带宽和方便快捷的数据交换成为互联网发展的趋势。并将在网格计算、点到点视频语音综合通信、大规模虚拟现实环境、智能交通、智能家电、环境地震监测、远程医疗、远程教育等方面取得广泛的应用。我校也将逐渐开展基于IPV6 的教育资源站点和软件应用建设。] WindowsXP IPv6安装方案 前期工作: 1.卸载ipv6(如果你以前装过了ipv6但是用不了请先卸载ipv6,全新安装则可跳过此步直接开始) 开始->运行输入:ipv6 uninstall 重启 2.如果你安装了瑞星个人防火墙,请把安全级别调至中级 安装步骤: 开始菜单—> 运行—> cmd 在弹出的DOS窗口中顺次执行以下三行命令 ipv6 install (回车出现“successed”) netsh interface ipv6 isatap set router 202.112.95.129 (回车出现“确定”) netsh interface ipv6 add route ::/0 2 2001:da8:207:1:0:5efe:202.112.95.129 (回车出现“确定”) 测试Ipv6 是否开通
开始菜单—> 运行—> cmd ,输入ipconfig后应该看到一个2001:da8:8000:3(我出现的不是这个)为前缀的v6地址 可访问https://www.doczj.com/doc/bd9588153.html,/ 看到一只动的乌龟(Dancing kame) 则表明ipv6 开通了; 或者访问https://www.doczj.com/doc/bd9588153.html,/ip.aspx 看你是否是使用ipv6 协议。 笔记本中安装IPv6的故障 使用笔记本电脑+ XP_SP2 的同学普遍放映无法安装IPv6,当输入上一目中第一个命令时,不能出现正确的提示信息。 同时,右键单击网上邻居—> 属性,在右键单击本地连接—> 属性,在常规选项卡中,依次点击安装—协议—添加,可以 找到与IPv6协议有关的安装选项,当企图安装该协议时,出现错误信息“无法添加要求的组件。错误是:出现了扩展错误”。 这是XP Home 和Professional 的区别。 解决方案是,开始菜单—> 运行,输入以下命令
PT 5.3软件中PC机、3层交换机和1841型号路由器具有IPv6功能。 IPv6是Internet Protocol Version 6的缩写,其中Internet Protocol译为“互联网协议”。IPv6是IETF(互联网工程任务组,Internet Engineering Task Force)设计的用于替代现行版本IP协议(IPv4)的下一代IP协议。 IPv6表示方法: 1、IPv6有128位的长度,以冒号分16进制的形式分成8组每组有4位16进制的数。如: 0001:0123:0000:0000:0000:ABCD:0000:0001/96 2、每组中开头的0可以省略不写。上面的地址可以写成: 1:123:0:0:0:ABCD:0:1/96 3、连续的全0组,可以用两个冒号表示,但在一个地址中,双冒号只能出现一次。上面的地址可以再简成: 1:123::ABCD:0:1/96 4、再如:2001:0DB8:0000:0000:0000:0000:1428:57ab可以写成 2001:DB8::1428:57ab 5、IPv6使用前缀长度来区分不同的网络:如:2000::1/16 和 2000::2/16是同一个网络;而2000::1/16 和 2001::1/16 就不是一个网络,因为它们都使用16位的前缀长度,也就是二进制部分前16位要相同,但是这两个IP地址二进制部分只有前15位相同,所以是不同的网络。 **************************************************************************************** ** 可实现dns域名解析、静态路由实验。 网络拓扑图:
IPv6网络协议配置手册
前言读者对象 ●网络工程师 ●技术推广人员 ●网络管理人员 适用范围 本手册适用于迈普路由器6.1.X的版本及对应的设备。
本书约定 命令行关键字用加粗表示; 命令行参数用斜体表示。 大括号“{ }”表示括号中的选项是必选的; 中括号“[ ]”表示括号中的选项是可选的; 尖括号“<>”表示括号中的信息不被显示出来; 方括号“【】”表示括号中的内容需要用户注意; 竖线“|”用于分隔若干选项,表示二选一或多选一; 正斜线“/”用于分隔若干选项,表示被分隔的各选项是可以被同时选中的; “ 注意”表示需要读者注意的事项,是配置系统的关键之处,希望用户能认真阅读。 “ 注”表示对前面内容的注解; “ 图解”表示对图例的文字解释。 声明 由于产品版本升级或其它原因,本手册内容会不定期进行更新。除非另有约定,本手册仅作为使用指导,本手册中的所有陈述、信息和建议不构成任何明示或暗示的担保。
目录 第1章简介 (1) 第2章IPV6配置 (2) 2.1 简介 (2) 2.2 基本指令描述 (2) 2.3 监控和调试 (4) 2.3.1 监控命令 (4) 2.3.2 调试命令 (5) 2.3.3 监控命令实例 (5) 2.3.4 监控命令实例 (6) 第3章ICMPV6配置 (8) 3.1 简介 (8) 3.2 基本指令描述 (8) 3.3 监控和调试 (13) 3.3.1 监控命令 (13) 3.3.2 调试命令 (13) 第4章DNSV6配置 (13) 4.1 简介 (14) 4.2 基本指令描述 (14) 4.3 监控和调试 (15) 4.3.1 监控命令 (15)
IPv6地址分配方式1 实验目标 ?学会IPv6的两种IP地址配置。 ?配置IPv6的路由表。 2 试验要求 ?配置Router0和Router1使之支持IPv6. ?配置DHCP服务器负责给本网段分配IPv6地址 ?配置2001:0DB8:0001∷/48网段使用无状态自动配置 ?添加在两个路由器上添加路由表使三个网段能够通信。 3 试验拓扑
4 实验过程: 4.1在Router0上 Router>en Router#conf t Router(config)#ipv6 unicast-routing 启用IPv6转发Router(config)#interface fastEthernet 0/0 Router(config-if)#ipv6 address 2001:db8:1::1/64 ? Router(config-if)#ipv6 address 2001:0DB8:0002::1/64 Router(config-if)#no sh Router(config-if)#ex Router(config)#interface fastEthernet 0/1 Router(config-if)#ipv6 address 2001:0db8:2::1/64 Router(config-if)#no sh 4.2在Router1上 Router>en Router#confi t Router(config)#ipv6 unicast-routing Router(config)#interface fastEthernet 0/0 Router(config-if)#ipv6 address 2001:0DB8:0003::1/64 Router(config-if)#no sh Router(config-if)#exi Router(config)#interface fastEthernet 0/1 Router(config-if)#ipv6 address 2001:0DB8:0002::2/64 ? Router(config-if)#no sh Router(config-if)#
目录 一、XXOpenRouter功能介绍 (2) 二、新核心部署方案 (3) 2.1实施前拓扑图 (3) 2.2老核心配置文件 (3) 2.3实施方案描述 (3) 2.3.1需求分析 (3) 2.3.2替换方案 (4) 2.3.3新核心配置脚本 (5) 2.3.4老核心修改 (44) 三、测试新核心工作状态 (44)
一、XXOpenRouter功能介绍 XX创新研发的OpenRouter的架构,由openrouter交换机、控制器、网络协议管理模块组成。其中最下层是交换机硬件设备,作为数据转发层,本项目中采用神州数码OpenRouter;中间为控制器,作为网络操作系统,屏蔽的底层硬件的不同,可以在上面运行不同网络协议管理模块;最上层为网络协议管理模块,它的运算结果通过控制器控制下发到底层硬件,控制其转发行为,本系统中对应的是IPv6网络管控模块OFCPF; 网络中OpenRouter交换机在端口定期采样报文,并将其接口、IPv6地址和路由信息定期发送给控制器,控制器端域内源地址验证系统通过控制器集中计算全局网络拓扑得到报文的正确传输路径(即源地址前缀,目的地址前缀,入接口),最上层的IPv6网络管控模块根据已经计算好的正确传输路径,判断报文IPv6源地址是否真实,如果发现假冒,则马上报警,并将过滤表通过控制器下发到交换机的ACL中,阻断网络中非法IPv6源地址伪造报文的传输。
二、新核心部署方案 2.1实施前拓扑图 2.2老核心配置文件 2.3实施方案描述 2.3.1需求分析 本项目神码交换机按照XX OpenRouter架构的要求进行针对性的软件开发,配合硬件服务器及在它上面运行的控制器及IPV6网络管控模块OFCPF实现对发现IPV6假冒IP攻击进
怎样在windows 7配置IPV6:介绍手动设置IPV6及程序实现IPV6两种 方法 作者:admin 时间:2010-12-13 22:21:46 浏览:965 o o在Windows 7环境如何进行IPv6配置,这里介绍两个方法来实现,并对windows7配置IPV6进行一些探讨。 一、手动简易设置 1、由快速链接处进入网络共享中心(Open Network and Sharing Center) 2、点击进入本地连接(Local Area Connection) 3、点击属性进行IPV6配置
4、填入已经找到的IPV6相关内容(获取地址举例:https://www.doczj.com/doc/bd9588153.html,) 方法二:程序实现 1、首先给出设置win7(vista设置方法也一样)通过isatap上IPV6的方法: 在运行里输入cmd,然后在命令提示符上面点右键-以管理员身份运行(Run as Administrator),然后在命令行里输入如下信息: netsh netsh>int netsh>interface>IPV6
netsh>interface>IPV6>isatap netsh>interface>IPV6>isatap>set router https://www.doczj.com/doc/bd9588153.html, netsh>interface>IPV6>isatap>set state enabled netsh>interface>IPV6>isatap>quit 这个命令行就是设置方法,要说明的就是那个router,就是https://www.doczj.com/doc/bd9588153.html,这个东西,其实就是学校的隧道(isatap),一直都用这个隧道连接,结果怎么都连不上,现在当然知道是我们学校这个隧道根本没法在win7下面特别是64位系统下使用,结果偶然间就换了上大的dns,结果出来的结果居然是可以解析……直接百度了一下上大的isatap(其实不用百度也知道,从命名规则就能看出上大的isatap是https://www.doczj.com/doc/bd9588153.html,),然后,可以上IPV6了。 可是到此为止并没有结束。因为使用了上大的dns和isatap,结果我上去上大的乐乎bt,下载的时候死活都没有连接,而且上https://www.doczj.com/doc/bd9588153.html,和https://www.doczj.com/doc/bd9588153.html,都是可以上去的,说明我确实是IPV6了,可是上乐乎bt就显示是ipv4,而且没bt连接……就是说这个用来下载的IPV6,结果没法下载,所以,又改了一下设置,去掉dns,让它自动获取,结果还是不行。于是就试着用其他大学的隧道连接,结果,hust(华中科大)的速度最好,而且上什么IPV6都没问题,看IPV6电视也没什么问题,就选定它了! 现在你们看出来了?虽然百所高校都开通了IPV6,但是不是所有学校的都支持win7(或者说是很好的支持,因为有时候能上有时候不能),但是有几个大学的是肯定可以的,现在给出最常用速度最好的三个(上面已经提到两个了): https://www.doczj.com/doc/bd9588153.html,(清华大学的) https://www.doczj.com/doc/bd9588153.html, (上大的) https://www.doczj.com/doc/bd9588153.html,(华中科大的) https://www.doczj.com/doc/bd9588153.html, (上交的)
IPv6网络设置方法 一、Windows XP系统下的安装方法: 1、以管理员权限登录 2、开始-运行-输入“cmd”- 3、在命令提示符下输入“ipv6 install”如果成功的话会提示: C:\Documents and Settings\weste>ipv6 install Installing... Succeeded. 4、输入命令“ipconfig” 这样你就能查看你的IPv6的IP地址了!如:2001:250:c01:XXXX:XXXX: XXXX: XXXX
5:检验IPv6是否连接成功 打开IE浏览器,在地址栏中输入https://www.doczj.com/doc/bd9588153.html,地址,登陆CENTER2测试网站,如果显示下列画面,则表示你的电脑与IPv6网络连接成功。 https://www.doczj.com/doc/bd9588153.html,
二、Windows 2003系统下的安装方法: 1、安装IPV6协议 “网上邻居”按右键----选择“属性”即可打开网络连接窗口、“本地连接”按右键,选择“属性”,打开本地连接属性窗口、点击“安装”安钮、选择“协议”、点击“添加”安钮、选择“Microsoft TCP/IP版本6”按“确定”键即可完成IPV6协议的安装。 IPV6协议安装完成后,在本地连接属性中显示如下选项,表示安装成功。
2、检验IPv6是否连接成功 打开IE浏览器,在地址栏中输入https://www.doczj.com/doc/bd9588153.html,地址,登陆CENTER2测试网站,如果显示下列画面,则表示你的电脑与IPv6网络连接成功。 https://www.doczj.com/doc/bd9588153.html, 请填写验证码和邮件地址,按“开始测试”按钮,表示您参与了IPV6网络测试,并表示我校该地址已加入IPV6网络。希望大家积极参与并关注排行榜。 IPV6网络的所有用户不需做任何认证,国家为了推动下一代互联网的发展现属于免费试用阶段;在使用过程中如有问题可打电话到网络中心咨询。 咨询电话:6014925 感谢大家的参与和支持! 太原理工大学网络中心 2008-9-16