項(xiàng)目12 使用ACL6限制Jan16公司網(wǎng)絡(luò)訪問-v0.4

項(xiàng)目12使用ACL6限制Jan16公司網(wǎng)絡(luò)訪問目錄項(xiàng)目描述項(xiàng)目需求分析項(xiàng)目相關(guān)知識項(xiàng)目規(guī)劃設(shè)計(jì)項(xiàng)目實(shí)施項(xiàng)目驗(yàn)證項(xiàng)目描述項(xiàng)目描述Jan16公司網(wǎng)絡(luò)已全面升級為IPv6網(wǎng)絡(luò)，出于對網(wǎng)絡(luò)安全的考慮，需限制部分部門網(wǎng)絡(luò)通信，公司拓?fù)淙缦聢D所示，具體要求如下：（1）公司設(shè)有財(cái)務(wù)部、設(shè)計(jì)部、管理部，分別在VLAN10、VLAN20、VLAN30中。（2）出于安全考慮，禁止公司設(shè)計(jì)部訪問財(cái)務(wù)部。（3）財(cái)務(wù)部無訪問互聯(lián)網(wǎng)的需求，出口路由器上僅允許設(shè)計(jì)部和管理部訪問互聯(lián)網(wǎng)。項(xiàng)目需求分析項(xiàng)目需求分析Jan16公司網(wǎng)絡(luò)全面支持IPv6協(xié)議，財(cái)務(wù)部、設(shè)計(jì)部、管理部均以交換機(jī)LSW1作為網(wǎng)關(guān)交換機(jī)，AR1作為公司出口路由器，AR1與LSW1需要配置路由實(shí)現(xiàn)網(wǎng)絡(luò)的互聯(lián)互通。同時，可以在AR1配置ACL6限制財(cái)務(wù)部流量訪問互聯(lián)網(wǎng)，LSW1上配置ACL6限制設(shè)計(jì)部訪問財(cái)務(wù)部，實(shí)現(xiàn)公司網(wǎng)絡(luò)的訪問控制。因此，本項(xiàng)目可以通過以下工作任務(wù)來完成。（1）創(chuàng)建VLAN，實(shí)現(xiàn)部門網(wǎng)絡(luò)劃分。（2）配置PC、交換機(jī)、路由器的IP地址。（3）配置靜態(tài)路由，實(shí)現(xiàn)全網(wǎng)互聯(lián)互通。（4）配置ACL6，實(shí)現(xiàn)財(cái)務(wù)部網(wǎng)絡(luò)的安全訪問控制。項(xiàng)目相關(guān)知識12.1ACL6概述IPv6訪問控制列表（IPv6AccessControlList，ACL6）是由一系列規(guī)則組成的集合，ACL通過這些規(guī)則對報(bào)文進(jìn)行分類，從而使設(shè)備可以對不同類型的報(bào)文進(jìn)行不同的處理。一個ACL通常由若干條“deny｜permit”語句組成，每條語句就是該ACL的一條規(guī)則，每條語句中的“deny｜permit”就是與這條規(guī)則相對應(yīng)的處理動作。處理動作“permit”的含義是“允許”，處理動作“deny”的含義是“拒絕”。特別需要說明的是，ACL技術(shù)總是與其他技術(shù)結(jié)合使用的，因此，所結(jié)合的技術(shù)不同，“permit”及“deny”的內(nèi)涵及作用也不同。例如，當(dāng)ACL技術(shù)與流量過濾技術(shù)結(jié)合使用時，“permit”就是“允許通行”的意思，“deny”就是“拒絕通行”的意思。ACL是一種應(yīng)用非常廣泛的網(wǎng)絡(luò)安全技術(shù)，配置了ACL的網(wǎng)絡(luò)設(shè)備的工作過程可以分為以下兩個步驟。（1）根據(jù)事先設(shè)定好的報(bào)文匹配規(guī)則對經(jīng)過該設(shè)備的報(bào)文進(jìn)行匹配。（2）對匹配的報(bào)文執(zhí)行事先設(shè)定好的處理動作。12.2ACL6工作原理1.ACL6的分類華為設(shè)備根據(jù)ACL6編號數(shù)值取值范圍對ACL6進(jìn)行分類，如下表所示。12.2ACL6工作原理（1）數(shù)字型ACL6通常用戶在創(chuàng)建ACL6時會為ACL6指定一個編號，僅通過編號來識別ACL6，所創(chuàng)建的ACL6屬于數(shù)字型ACL6，不同的編號對應(yīng)不同類型的ACL6。（例如：創(chuàng)建ACL6編號為2020，則該ACL6屬于基本ACL6。創(chuàng)建ACL6編號為3020，則該ACL6屬于高級ACL6。）不同類型的ACL6的規(guī)則定義不同，高級ACL6的規(guī)則定義能力要比基本ACL6強(qiáng)大，但是配置也較為復(fù)雜。（2）命名型ACL6為了方便記憶和識別，用戶可以選擇創(chuàng)建命名型ACL6，即在創(chuàng)建ACL6時僅為該ACL6配置一個名稱（例如配置名稱為：ABC），未指定該ACL6的編號，設(shè)備默認(rèn)為該ACL6分配編號數(shù)字3999，即默認(rèn)為高級ACL6。（3）“名稱+數(shù)字”型ACL6有時，也會配置“名稱+數(shù)字”型ACL6，即在定義命名型ACL6時，同時為該ACL6指定一個ACL6編號，該ACL6編號可以是基本的也可以是高級的。12.2ACL6工作原理2.ACL6格式（1）基本ACL6格式例：路由器允許源IPv6地址2020::1的流量經(jīng)過，禁止源IPv6地址前綴2030::/64的流量經(jīng)過。ACL6配置如下圖所示。需要注意的是：ACL的源地址后面跟的是地址對應(yīng)的通配符，而ACL6源地址后面跟的是該地址對應(yīng)的前綴長度。上述例子中的生效時間段可根據(jù)實(shí)際情況選擇配置。12.2ACL6工作原理（2）高級ACL6格式如下圖所示與高級ACL相同，高級ACL6根據(jù)規(guī)則定義的內(nèi)容不同，格式也會所有不同，以TCP為例。禁止源IPv6地址2020::1對所有WEB的訪問，ACL6配置如下圖所示。12.2ACL6工作原理3.華為路由器ACL6的規(guī)則編號與匹配順序（1）規(guī)則編號根據(jù)ACL6格式，在每一條ACL6里面都可以創(chuàng)建多條規(guī)則，每一條規(guī)則都有一個規(guī)則編號與之對應(yīng)。在配置規(guī)則時，規(guī)則編號是一個可選項(xiàng)配置選項(xiàng)，可以根據(jù)用戶指定的編號數(shù)字為每一條規(guī)則進(jìn)行編號。若用戶沒有指定規(guī)則的編號，華為路由器會根據(jù)默認(rèn)步長設(shè)定規(guī)則，為創(chuàng)建每一條規(guī)則設(shè)置一個規(guī)則編號。步長規(guī)則如下：①缺省步長數(shù)值為5，若ACL6下的規(guī)則為空，即第一條被創(chuàng)建的ACL的規(guī)則編號為5，后續(xù)創(chuàng)建的規(guī)則，以每次5遞增，如下圖所示。[AR1]aclipv62000//創(chuàng)建ACL6[AR1-acl6-basic-2000]displaythis#aclipv6number2000//空ACL6#[AR1-acl6-basic-2000]rulepermitsource2010::1128//添加第1條規(guī)則，未指定編號[AR1-acl6-basic-2000]displaythis#aclipv6number2000rule5permitsource2010::1/128//獲得規(guī)則編號為5#[AR1-acl6-basic-2000]rulepermitsource3010::1128//添加第2條規(guī)則，未指定編號[AR1-acl6-basic-2000]displaythis#aclipv6number2000rule5permitsource2010::1/128rule10permitsource3010::1/128//獲得規(guī)則編號為10#12.2ACL6工作原理②ACL6下的規(guī)則非空，則步長規(guī)則需結(jié)合現(xiàn)有規(guī)則的數(shù)值再進(jìn)行規(guī)則編號配置。若現(xiàn)有規(guī)則的編號小于等于數(shù)值5，則后續(xù)創(chuàng)建編號的規(guī)則與情況①相同。若現(xiàn)有規(guī)則的編號大于5，則使用大于當(dāng)前ACL內(nèi)最大規(guī)則編號且是步長整數(shù)倍的最小整數(shù)作為規(guī)則編號。如下圖所示，已有規(guī)則編號12，根據(jù)步長規(guī)則為第2條規(guī)則設(shè)備編號，取值時，數(shù)值不得小于12，且必須是默認(rèn)步長數(shù)值5的最小整數(shù)倍數(shù)，故取值為15。[AR1-acl6-basic-2000]disthis#aclipv6number2000rule12permitsource2010::1/128//現(xiàn)有規(guī)則編號為12#[AR1-acl6-basic-2000]

rulepermitsource3010::1/128//創(chuàng)建第2條規(guī)則，未指定編號[AR1-acl6-basic-2000]displaythis[V200R003C00]aclipv6number2000rule12permitsource2010::1/128rule15permitsource3010::1/128//獲得規(guī)則編號為15[AR1-acl6-basic-2000]12.2ACL6工作原理（2）ACL6匹配順序華為ACL6支持兩種ACL匹配順序：配置順序模式（Config模式）和自動排序模式（Auto模式）。缺省匹配順序?yàn)镃onfig模式。①Config模式根據(jù)ACL6規(guī)則編號，按編號數(shù)值從小到大的順序進(jìn)行匹配，規(guī)則編號越小越先用于匹配數(shù)據(jù)或者路由。一旦匹配成功，立即停止匹配行為，執(zhí)行當(dāng)前規(guī)則編號對應(yīng)的動作。如下圖所示，根據(jù)ACL62000，若路由器AR1收到源地址為：2010::1/128的數(shù)據(jù)，則首先與rule5進(jìn)行匹配，配成功，根據(jù)rule5定義動作“permit”，接收或者轉(zhuǎn)發(fā)數(shù)據(jù)。[AR1-acl6-basic-2000]disthis#aclipv6number2000rule5permitsource2010::1/128rule10denysource2010::1/128#12.2ACL6工作原理如下圖所示，根據(jù)ACL62000，若路由器AR1收到源地址為：2010::1/128的數(shù)據(jù)，則首先與rule5進(jìn)行匹配，配成功，根據(jù)rule5定義動作“deny”，丟棄數(shù)據(jù)。[AR1-acl6-basic-2000]disthis#aclipv6number2000rule5denysource2010::1/128rule10permitsource2010::1/128#需要注意的是：ACL6的默認(rèn)規(guī)則是允許所有流量通過，若流量未被ACL6中的規(guī)則匹配到，則按照默認(rèn)規(guī)則進(jìn)行處理。12.2ACL6工作原理②Auto模式Auto模式采用“深度優(yōu)先”的原則，創(chuàng)建ACL時用戶不能為規(guī)則指定規(guī)則編號，設(shè)備會根據(jù)所創(chuàng)建規(guī)則的精確度自行排序，精確度越高，獲得編號數(shù)值越小，越先被執(zhí)行。如下圖所示，規(guī)則“rule……2010::1/128”的精確度比規(guī)則“rule……2010::64”的精確度高，盡管是最后才配置的，卻獲得了最小的規(guī)則編號。Auto模式收到數(shù)據(jù)之后的處理方式與Config相同。[AR1]aclipv62000match-orderauto//配置匹配順序?yàn)锳uto[AR1-acl6-basic-2000]rulepermitsource2010::/64[AR1-acl6-basic-2000]ruledenysource2010::1/128[AR1-acl6-basic-2000]displaythisaclipv6number2000match-orderautorule5denysource2010::1/128rule10permitsource2010::/64

[AR1-acl6-basic-2000]12.2ACL6工作原理（3）設(shè)置步長的作用通過步長設(shè)置，使得規(guī)則編號并非連續(xù)，規(guī)則與規(guī)則之間有剩余的規(guī)則編號空間，這樣便可以在不改變設(shè)備原有配置的情況下，為設(shè)備添加某些需要被優(yōu)先執(zhí)行的規(guī)則。如下圖所示，此時已經(jīng)創(chuàng)建了rule5和rule10，根據(jù)這兩條規(guī)則，2020::/64網(wǎng)段中，僅有地址2020::1的流量能通過路由器AR1。若此時需要在不改變原有配置的情況下，配置允許地址2020::2的流量通過路由器AR1，此時僅需添加一條規(guī)則，規(guī)則編號X，要求X＜10即可。例如添加“rule6permitsource2020::2/128”，那么地址2020::2的流量的流量便可通過AR1。[AR1]aclipv62001[AR1-acl6-basic-2001]rulepermitsource2020::1128[AR1-acl6-basic-2001]ruledenysource2020::64[AR1-acl6-basic-2001]displaythisaclipv6number2001rule5permitsource2020::1/128rule10denysource2020::/64[AR1-acl6-basic-2001]rule6permitsource2020::2128[AR1-acl6-basic-2001]displaythisaclipv6number2001rule5permitsource2020::1/128rule6permitsource2020::2/128rule10denysource2020::/64#12.2ACL6工作原理4.華為交換機(jī)ACL6的規(guī)則編號與匹配順序華為交換機(jī)ACL6默認(rèn)不支持步長設(shè)定，添加規(guī)則時，若沒有指定規(guī)則編號，則第1條規(guī)則的規(guī)則編號為0。第2條規(guī)則的規(guī)則編號為1。第3條規(guī)則的規(guī)則編號為2，以此類推。建議配置時，手動添加編號規(guī)則，并在規(guī)則與規(guī)則之間預(yù)留有剩余的規(guī)則編號空間。華為交換機(jī)的ACL6匹配順序與路由器相同。項(xiàng)目規(guī)劃設(shè)計(jì)項(xiàng)目拓?fù)浔卷?xiàng)目中，使用3臺PC、1臺路由器、2臺二層交換機(jī)搭建項(xiàng)目拓?fù)?，如下圖所示。其中PC1是財(cái)務(wù)部員工主機(jī)，PC2是設(shè)計(jì)部員工主機(jī)，PC3是管理部員工主機(jī)，LSW1為各部門網(wǎng)關(guān)交換機(jī)，LSW1通過出口路由器AR1連接至互聯(lián)網(wǎng)。通過在AR1及LSW1上配置ACL6，來完成對財(cái)務(wù)部的安全訪問控制。項(xiàng)目規(guī)劃根據(jù)項(xiàng)目拓?fù)溥M(jìn)行業(yè)務(wù)規(guī)劃，端口互聯(lián)、IPv6地址規(guī)劃如下表所示。1.端口互聯(lián)規(guī)劃2.IPv6地址規(guī)劃本端設(shè)備本端接口對端設(shè)備對端接口PC1Ethernet0/0/1LSW1GE0/0/1PC2Ethernet0/0/1GE0/0/2PC3Ethernet0/0/1GE0/0/3LSW1GE0/0/1PC1Ethernet0/0/1GE0/0/2PC2Ethernet0/0/1GE0/0/3PC3Ethernet0/0/1GE0/0/24AR1GE0/0/0AR1GE0/0/0LSW1GE0/0/24GE0/0/1ISPEthernet0/0/1設(shè)備名稱接口IP地址網(wǎng)關(guān)地址用途PC1Ethernet0/0/12010::10/642010::1/64PC1主機(jī)地址PC2Ethernet0/0/12020::10/642020::1/64PC2主機(jī)地址PC3Ethernet0/0/12030::10/642030::1/64PC3主機(jī)地址LSW1VLANIF102010::1/64N/APC1網(wǎng)關(guān)地址VLANIF202020::1/64N/APC2網(wǎng)關(guān)地址VLANIF302030::1/64N/APC3網(wǎng)關(guān)地址VLANIF1001010::1/64N/A接口地址AR1GE0/0/01010::2/64N/A接口地址GE0/0/11020::2/64N/A接口地址項(xiàng)目實(shí)施任務(wù)12-1創(chuàng)建VLAN任務(wù)規(guī)劃根據(jù)端口互聯(lián)規(guī)劃表要求，為交換機(jī)創(chuàng)建VLAN，然后將對應(yīng)端口劃分到VLAN中。任務(wù)12-1創(chuàng)建VLAN任務(wù)實(shí)施1.交換機(jī)上創(chuàng)建VLAN為LSW1創(chuàng)建部門VLAN及互聯(lián)VLAN。<Huawei>system-view進(jìn)入系統(tǒng)視圖[Huawei]sysnameLSW1設(shè)備命名[LSW1]vlanbatch102030100創(chuàng)建VLAN任務(wù)12-1創(chuàng)建VLAN2.將交換機(jī)端口添加到對應(yīng)VLAN中為LSW1劃分VLAN，并將對應(yīng)端口添加到VLAN中。[LSW1]interfaceGigabitEthernet0/0/1進(jìn)入端口視圖[LSW1-GigabitEthernet0/0/1]portlink-typeaccess配置鏈路類型為Access[LSW1-GigabitEthernet0/0/1]portdefaultvlan10劃分VLAN[LSW1-GigabitEthernet0/0/1]quit退出端口視圖[LSW1]interfaceGigabitEthernet0/0/2進(jìn)入端口視圖[LSW1-GigabitEthernet0/0/2]portlink-typeaccess配置鏈路類型為Access[LSW1-GigabitEthernet0/0/2]portdefaultvlan20劃分VLAN[LSW1-GigabitEthernet0/0/2]quit退出端口視圖[LSW1]interfaceGigabitEthernet0/0/3進(jìn)入端口視圖[LSW1-GigabitEthernet0/0/3]portlink-typeaccess配置鏈路類型為Access[LSW1-GigabitEthernet0/0/3]portdefaultvlan30劃分VLAN[LSW1-GigabitEthernet0/0/3]quit退出端口視圖[LSW1]interfaceGigabitEthernet0/0/24進(jìn)入端口視圖[LSW1-GigabitEthernet0/0/24]portlink-typeaccess配置鏈路類型為Access[LSW1-GigabitEthernet0/0/24]portdefaultvlan100劃分VLAN[LSW1-GigabitEthernet0/0/24]quit退出端口視圖任務(wù)12-1創(chuàng)建VLAN任務(wù)驗(yàn)證（1）在LSW1上使用【displayvlan】命令驗(yàn)證VLAN的創(chuàng)建情況，如下圖所示。（2）在LSW1上使用【displayportvlan】命令驗(yàn)證鏈路狀態(tài)配置，如下圖所示。[LSW1]displayvlan……--------------------------------------------------------------------------------1commonUT:GE0/0/4(D)GE0/0/5(D)GE0/0/6(D)GE0/0/7(D)GE0/0/8(D)GE0/0/9(D)GE0/0/10(D)GE0/0/11(D)GE0/0/12(D)GE0/0/13(D)GE0/0/14(D)GE0/0/15(D)GE0/0/16(D)GE0/0/17(D)GE0/0/18(D)GE0/0/19(D)GE0/0/20(D)GE0/0/21(D)GE0/0/22(D)GE0/0/23(D)10commonUT:GE0/0/1(U)20commonUT:GE0/0/2(U)30commonUT:GE0/0/3(U)100commonUT:GE0/0/24(U)……[LSW1]displayportvlanPortLinkTypePVIDTrunkVLANList-------------------------------------------------------------------------------GigabitEthernet0/0/1access10-GigabitEthernet0/0/2access20-GigabitEthernet0/0/3access30-……GigabitEthernet0/0/24access100-任務(wù)12-2配置PC、交換機(jī)、路由器的IPv6地址任務(wù)規(guī)劃根據(jù)IPv6地址規(guī)劃表，為各部門的PC和路由器配置IPv6地址。任務(wù)12-2配置PC、交換機(jī)、路由器的IPv6地址任務(wù)實(shí)施1.根據(jù)下表為各部門PC配置IPv6地址及網(wǎng)關(guān)設(shè)備名稱IP地址網(wǎng)關(guān)地址PC12010::10/642010::1/64PC22020::10/642020::1/64PC32030::10/642030::1/64任務(wù)12-2配置PC、交換機(jī)、路由器的IPv6地址如下圖為PC1的IP地址配置結(jié)果，同理完成PC2~PC3的IP地址配置。任務(wù)12-2配置PC、交換機(jī)、路由器的IPv6地址2.配置LSW1的VLANIF接口IP在交換機(jī)LSW1上為兩個部門VLAN創(chuàng)建VLANIF接口并配置IP地址，作為兩個部門的網(wǎng)關(guān)。<Huawei>system-view進(jìn)入系統(tǒng)視圖[LSW1]ipv6全局啟用IPv6功能[LSW1]interfaceVlanif10進(jìn)入接口視圖[LSW1-Vlanif10]ipv6enable接口下啟用IPv6功能[LSW1-Vlanif10]ipv6address2010::164配置IPv6地址[LSW1-Vlanif10]quit退出接口視圖[LSW1]interfaceVlanif20進(jìn)入接口視圖[LSW1-Vlanif20]ipv6enable接口下啟用IPv6功能[LSW1-Vlanif20]ipv6address2020::164配置IPv6地址[LSW1-Vlanif20]quit退出接口視圖[LSW1]interfaceVlanif30進(jìn)入接口視圖[LSW1-Vlanif30]ipv6enable接口下啟用IPv6功能[LSW1-Vlanif30]ipv6address2030::164配置IPv6地址[LSW1-Vlanif30]quit退出接口視圖[LSW1]interfaceVlanif100進(jìn)入接口視圖[LSW1-Vlanif100]ipv6enable接口下啟用IPv6功能[LSW1-Vlanif100]ipv6address1010::164配置IPv6地址[LSW1-Vlanif100]quit退出接口視圖任務(wù)12-2配置PC、交換機(jī)、路由器的IPv6地址3.為路由器AR1配置IPv6地址在路由器AR1上為接口配置IP地址，作為與LSW1和LSP互聯(lián)的地址。<Huawei>system-view進(jìn)入系統(tǒng)視圖[Huawei]sysnameAR1設(shè)備命名[AR1]ipv6全局啟用IPv6功能[AR1]interfaceGigabitEthernet0/0/0進(jìn)入接口視圖[AR1-GigabitEthernet0/0/0]ipv6enable接口下啟用IPv6功能[AR1-GigabitEthernet0/0/0]ipv6address1010::264配置IPv6地址[AR1-GigabitEthernet0/0/0]quit退出接口視圖[AR1]interfaceGigabitEthernet0/0/1進(jìn)入接口視圖[AR1-GigabitEthernet0/0/1]ipv6enable接口下啟用IPv6功能[AR1-GigabitEthernet0/0/1]ipv6address1020::264配置IPv6地址[AR1-GigabitEthernet0/0/1]quit退出接口視圖任務(wù)12-2配置PC、交換機(jī)、路由器的IPv6地址任務(wù)驗(yàn)證（1）在LSW1上使用【displayipv6interfacebrief】命令驗(yàn)證IP地址配置情況，如下圖所示。（2）在AR1上使用【displayipv6interfacebrief】命令驗(yàn)證IP地址配置情況，如下圖所示。[LSW1]displayipv6interfacebrief……InterfacePhysicalProtocolVlanif10upup[IPv6Address]2010::1Vlanif20upup[IPv6Address]2020::1Vlanif30upup[IPv6Address]2030::1Vlanif100upup[IPv6Address]1010::1[LSW1][AR1]displayipv6interfacebrief……InterfacePhysicalProtocolGigabitEthernet0/0/0upup[IPv6Address]1010::2GigabitEthernet0/0/1upup[IPv6Address]1020::2[AR1]任務(wù)12-3配置靜態(tài)路由任務(wù)規(guī)劃在交換機(jī)LSW1上配置通往ISP的缺省路由，在路由器AR1上配置到達(dá)各部門的明細(xì)靜態(tài)路由。任務(wù)12-3配置靜態(tài)路由任務(wù)實(shí)施1.配置交換機(jī)LSW1的缺省路由配置通往互聯(lián)網(wǎng)的缺省路由，下一跳為AR11010::22.配置路由器AR1的靜態(tài)路由為各部門創(chuàng)建靜態(tài)路由，分別指向前綴2010::/64、2020::/64、2030::/64，下一跳為LSW11010::1。[LSW1]ipv6route-static::01010::2配置IPv6缺省路由[AR1]ipv6route-static2010::641010::1配置IPv6靜態(tài)路由[AR1]ipv6route-static2020::641010::1配置IPv6靜態(tài)路由[AR1]ipv6route-static2030::641010::1配置IPv6靜態(tài)路由任務(wù)12-3配置靜態(tài)路由任務(wù)驗(yàn)證（1）在AR1上使用【displayipv6routing-table】命令驗(yàn)證靜態(tài)路由配置情況，如下圖所示。[AR1]displayipv6routing-table……Destination:2010::PrefixLength:64NextHop:1010::1Preference:60Cost:0Protocol:StaticRelayNextHop:::TunnelID:0x0Interface:GigabitEthernet0/0/0Flags:RD

Destination:2020::PrefixLength:64NextHop:1010::1Preference:60Cost:0Protocol:StaticRelayNextHop:::TunnelID:0x0Interface:GigabitEthernet0/0/0Flags:RD

Destination:2030::PrefixLength:64NextHop:1010::1Preference:60Cost:0Protocol:StaticRelayNextHop:::TunnelID:0x0Interface:GigabitEthernet0/0/0Flags:RD……[AR1]任務(wù)12-3配置靜態(tài)路由（2）在LSW1上使用【displayipv6routing-table】命令驗(yàn)證缺省路由配置情況，如下圖所示。[LSW1]displayipv6routing-tableRoutingTable:PublicDestinations:11Routes:11

Destination:::PrefixLength:0NextHop:1010::2Preference:60Cost:0Protocol:StaticRelayNextHop:::TunnelID:0x0Interface:Vlanif100Flags:RD……[LSW1]任務(wù)12-4配置ACL6任務(wù)規(guī)劃在LSW1上配置ACL6，禁止設(shè)計(jì)部訪問財(cái)務(wù)部。在AR1上配置允許設(shè)計(jì)部和管理部流量通過，禁止財(cái)務(wù)部流量通過。任務(wù)12-4配置ACL6任務(wù)實(shí)施1.配置交換機(jī)LSW1的ACL6禁止設(shè)計(jì)部訪問財(cái)務(wù)部，創(chuàng)建ACL63000，名稱：JAN16，創(chuàng)建規(guī)則5，動作為“deny”匹配源地址為設(shè)計(jì)部門前綴，目的地址為財(cái)務(wù)部門前綴。將ACL3000應(yīng)用于交換機(jī)VLAN20的流量入方向。[LSW1]aclipv6nameJAN163000創(chuàng)建ACL[LSW1-acl6-adv-JAN16]rule5denyipv6source2020::/64destination2010::/64創(chuàng)建規(guī)則[LSW1-acl6-adv-JAN16]quit退出ACL視圖[LSW1]traffic-filtervlan20inboundaclipv6nameJAN16接口流量入接口方向應(yīng)用ACL6任務(wù)12-4配置ACL62.配置路由器AR1的ACL6允許設(shè)計(jì)部和管理部訪問互聯(lián)網(wǎng)，禁止財(cái)務(wù)部訪問互聯(lián)網(wǎng)，創(chuàng)建ACL62000，名稱：JAN16，創(chuàng)建規(guī)則5，動作為“permit”,匹配源地址為設(shè)計(jì)部門前綴。創(chuàng)建規(guī)則10，動作為“permit”,匹配源地址為管理部門前綴。創(chuàng)建規(guī)則15，動作為“deny”,匹配源地址為財(cái)務(wù)部門前綴。將ACL2000應(yīng)用于路由器AR1G0/0/0接口的流量入方向。[AR1]aclipv6nameJAN162000創(chuàng)建ACL[AR1-acl6-basic-JAN16]rule5permitsource2020::64創(chuàng)建規(guī)則[AR1-acl6-basic-JAN16]rule10permitsource2030::64創(chuàng)建規(guī)則[AR1-acl6-basic-JAN16]rule15denysource2010::64創(chuàng)建規(guī)則[AR1-acl6-basic-JAN16]quit退出ACL視圖[AR1]interfaceGigabitEthernet0/0/0進(jìn)入接口視圖[AR1-GigabitEthernet0/0/0]traffic-filterinboundipv6aclnameJAN16流量入接口方向應(yīng)用ACL6[AR1-GigabitEthernet0/0/0]quit退出接口視圖任務(wù)12-4配置ACL6任務(wù)驗(yàn)證（1）在LSW1使用【displayaclipv6all】命令查看ACL6配置情況，如下圖所示。（2）在AR1使用【displayaclipv6all】命令查看ACL6配置情況，如下圖所示。[LSW1]displayaclipv6allTotalnonemptyacl6numberis1AdvancedIPv6ACL3000nameJAN16,1rulerule5denyipv6source2020::/64destination2010::/64[LSW1][AR1]displayaclipv6allTotalnonemptyacl6numberis1BasicIPv6ACL2000nameJAN16,3rulesAcl'sstepis5rule5permitsource2020::/64rule10permitsource2030::/64rule15denysource2010::/64[AR1]項(xiàng)目驗(yàn)證項(xiàng)目驗(yàn)證1.財(cái)務(wù)部PC1ping管理部PC3的IPv6地址為：2030::10，如下圖所示。2.財(cái)務(wù)部PC1ping路由器AR1的外網(wǎng)接口IPv6地址為：1020::2，如下圖所示。C:\Users\admin>ping2030::10

正在Ping2030::10具有32字節(jié)的數(shù)據(jù):來自2030::10的回復(fù):時間=1ms來自2030::10的回復(fù):時間=1ms來自2030::10的回復(fù):時間=2ms來自2030::10的回復(fù):時間=1ms

2030::10的Ping統(tǒng)計(jì)信息:

數(shù)據(jù)包:已發(fā)送=4，已接收=4，丟失=0(0%丟失)，往返行程的估計(jì)時間(以毫秒為單位):

最短=1ms，最長=2ms，平均=1msC:\Users\admin>ping1020::2

正在Ping1020::2具有32字節(jié)的數(shù)據(jù):請求超時。請求超時。請求超時。請求超時。

1020::2的Ping統(tǒng)計(jì)信息:

數(shù)據(jù)包:已發(fā)送=4，已接收=0，丟失=4(100%丟失)，項(xiàng)目驗(yàn)證3.設(shè)計(jì)部PC2ping財(cái)務(wù)部PC1的IPv6地址為：2010::10，如下圖所示。4.設(shè)計(jì)部PC2ping管理部PC3的IPv6地址為：2030::10，如下圖所示C:\Users\admin>ping2010::10

正在Ping2010::10具有32字節(jié)的數(shù)據(jù):請求超時。請求超時。請求超時。請求超時。

2010::10的Ping統(tǒng)計(jì)信息:

數(shù)據(jù)包:已發(fā)送=4，已接收=0，丟失=4(100%丟失)，C:\Users\admin>ping2030::10

正在Ping2030::10具有32字節(jié)的數(shù)據(jù):來自2030::10的回復(fù):時間=1ms來自2030::10的回復(fù):時間=4ms來自2030::10的回復(fù):時間=1ms來自2030::10的回復(fù):時間=1ms

2030::10的Ping統(tǒng)計(jì)信息:

數(shù)據(jù)包:已發(fā)送=4，已接收=4，丟失=0(0%丟失)，往返行程的估計(jì)時間(以毫秒為單位):

最短=1ms，最長=4ms，平均=1ms項(xiàng)目驗(yàn)證5.設(shè)計(jì)部PC2ping路由器AR1的外網(wǎng)接口IPv6地址為：1020::2，如下圖所示。C:\Users\admin>ping1020::2

正在Ping1020::2具有32字節(jié)的數(shù)據(jù):來自1020::2的回復(fù):時間=122ms來自1020::2的回復(fù):時間=7ms來自1020::2的回復(fù):