Packet Tracer - 配置 IPv6 ACL
地址分配表
设备
接口
IPv6 地址/前缀
默认网关
Server3
NIC
2001:DB8:1:30::30/64
FE80::30
目标
第 1 部分:配置、应用并验证 IPv6 ACL
第 2 部分:配置、应用并验证第二个 IPv6 ACL
第 1 部分: 配置、应用并验证 IPv6 ACL
日志表明,2001:DB8:1:11::0/64 网络中的一台计算机在不断刷新其网页,导致对 Server3 进行拒绝服务 (DoS) 攻击。您必须使用访问列表阻止对该网络进行 HTTP 和 HTTPS 访问,然后才能识别并清理客户端。
第 1 步: 配置 ACL 将会阻止 HTTP 和 HTTPS 的访问。
使用下列语句在 R1 上配置名为 BLOCK_HTTP 的 ACL。
a. 阻止 HTTP 和 HTTPS 流量到达 Server3。
R1(config)# deny tcp any host 2001:DB8:1:30::30 eq www
R1(config)# deny tcp any host 2001:DB8:1:30::30 eq 443
b. 允许其他所有 IPv6 流量通过。
第 2 步: 将 ACL 应用到正确的接口。
将 ACL 应用于距离将被阻止的流量源最近的接口。
R1(config-if)# ipv6 traffic-filter BLOCK_HTTP in
第 3 步: 验证 ACL 实施。
进行以下测试,验证 ACL 是否按预期运行:
· 打开 PC1 的 Web 浏览器并导航至 http:// 2001:DB8:1:30::30 或 https://2001:DB8:1:30::30。网站应该会显示。
· 打开 PC2 的 Web 浏览器并导航至 http:// 2001:DB8:1:30::30 或 https://2001:DB8:1:30::30。网站应该会被阻止
· 从 PC2 对 2001:DB8:1:30::30 执行 ping 操作。该 ping 操作应该能够成功。
第 2 部分: 配置、应用并验证第二个 IPv6 ACL
当前日志表明,您的服务器正在接收以分布式拒绝服务 (DDoS) 攻击形式出现的来自多个不同 IPv6 地址的 ping 请求。您必须过滤对服务器的 ICMP ping 请求。
第 1 步: 创建访问列表以阻止 ICMP。
使用下列语句在 R3 上配置命名为 BLOCK_ICMP 的 ACL:
a. 阻止所有 ICMP 流量从任何主机发送到任何目的地。
b. 允许其他所有 IPv6 流量通过。
第 2 步: 将 ACL 应用到正确的接口。
在这种情况下,ICMP 流量可来自任何源地址。如需在无论 ICMP 流量源或者网络拓扑如何变化的情况下均可以确保阻止 ICMP 流量,需应用离目的地址最近的 ACL。
第 3 步: 验证访问列表是否正常运行。
a. 从 PC2 对 2001:DB8:1:30::30 执行 ping 操作。ping 操作应该会失败。
b. 从 PC1 对 2001:DB8:1:30::30 执行 ping 操作。ping 操作应该会失败。
打开 PC1 的 Web 浏览器并导航至 http:// 2001:DB8:1:30::30 或 https://2001:DB8:1:30::30。网站应该会显示。
还是初始界面直接复制粘贴
R1
en
conf t
ipv6 access-list BLOCK_HTTP
deny tcp any host 2001:DB8:1:30::30 eq www
deny tcp any host 2001:DB8:1:30::30 eq 443
permit ipv6 any any
interface g0/1
ipv6 traffic-filter BLOCK_HTTP in
R3
en
conf t
ipv6 access-list BLOCK_ICMP
deny icmp any any
permit ipv6 any any
interface g0/0
ipv6 traffic-filter BLOCK_ICMP out