问题描述:
目前的IPv6只能指定静态IPv6地址前缀
组网及组网描述:
存在多个ipv6内网,ipv6前缀为动态获取
- 2023-07-13提问
- 举报
-
(0)
最佳答案
您可以参考以下内容:
- PD(Prefix Delegation)是一种IPv6地址分配机制,用于在DHCPv6服务器和客户端之间分配IPv6前缀。1
- H3C MSR2600系列路由器支持PD功能,可以作为DHCPv6服务器或客户端,为下游设备或自身接口分配IPv6前缀。2
- H3C MSR2600系列路由器支持基于IPv6前缀的ACL规则,可以对动态获取的PD前缀进行过滤或匹配。3
- 配置基于IPv6前缀的ACL规则的步骤如下:3
- 创建一个基本或高级的IPv6 ACL,并指定一个编号或名称。
- 在ACL视图下,使用rule命令添加一条规则,指定源或目的地址为一个IPv6前缀,并使用prefix-length-range参数指定前缀长度范围。
- 在接口视图下,使用packet-filter命令将ACL应用到接口的入方向或出方向。
以上信息来自以下搜索结果:
- H3C MSR2600系列路由器配置指南-Release 35XX-6W10012:这个网页提供了H3C MSR2600系列路由器配置指南的下载链接,介绍了路由器的功能、配置和管理等内容。
- H3C MSR2600系列路由器命令参考-Release 35XX-6W1003:这个网页提供了H3C MSR2600系列路由器命令参考的下载链接,介绍了路由器的各种命令的语法、参数和示例等内容。
希望这些信息对您有帮助。如果您还有其他问题,请随时提问。😊
- 2023-07-13回答
- 评论(1)
- 举报
-
(0)
您好,参考
1.1.21 rule (IPv6 advanced ACL view)
rule命令用来为IPv6高级ACL创建一条规则。
undo rule命令用来为IPv6高级ACL删除一条规则或删除规则中的部分内容。
IPv6高级ACL内不存在任何规则。
IPv6高级ACL视图
rule-id:指定IPv6高级ACL规则的编号,取值范围为0~65534。若未指定本参数,系统将按照步长从0开始,自动分配一个大于现有最大编号的最小编号。譬如现有规则的最大编号为28,步长为5,那么自动分配的新编号将是30。
deny:表示拒绝符合条件的报文。
permit:表示允许符合条件的报文。
protocol:表示IPv6承载的协议类型,可输入的形式如下:
· 数字:取值范围为0~255;
· 名称(括号内为对应的数字):可选取gre(47)、icmpv6(58)、ipv6、ipv6-ah(51)、ipv6-esp(50)、ospf(89)、tcp(6)或udp(17)。
source { source-address source-prefix | source-address/source-prefix | any } | 源IPv6地址 | 指定ACL规则的源IPv6地址信息 | source-address:源IPv6地址 source-prefix:源IPv6地址的前缀长度,取值范围1~128 any:任意源IPv6地址 |
destination { dest-address dest-prefix | dest-address/dest-prefix | any } | 目的IPv6地址 | 指定ACL规则的目的IPv6地址信息 | dest-address:目的IPv6地址 dest-prefix:目的IPv6地址的前缀长度,取值范围1~128 any:任意目的IPv6地址 |
DSCP优先级 | dscp:用数字表示时,取值范围为0~63;用名称表示时,可选取af11(10)、af12(12)、af13(14)、af21(18)、af22(20)、af23(22)、af31(26)、af32(28)、af33(30)、af41(34)、af42(36)、af43(38)、cs1(8)、cs2(16)、cs3(24)、cs4(32)、cs5(40)、cs6(48)、cs7(56)、default(0)或ef(46) | ||
指定IPv6基本报文头中流标签字段的值 | flow-label-value:流标签字段的值,取值范围为0~1048575 | ||
该功能需要使用该ACL的模块支持日志记录功能,例如报文过滤 | |||
routing-type:路由头类型的值,取值范围为0~255 若指定了type routing-type参数,表示仅对指定类型的路由头有效;否则,表示对IPv6所有类型的路由头都有效 | |||
hop-type:逐跳头类型的值,取值范围为0~255 若指定了type hop-type参数,表示仅对指定类型的逐跳头有效;否则,表示对IPv6所有类型的逐跳头都有效 | |||
time-range-name:时间段的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。若该时间段尚未配置,该规则仍会成功创建但系统将给出提示信息,并在该时间段的配置完成后此规则才会生效。有关时间段的详细介绍和具体配置过程,请参见“ACL和QoS配置指导”中的“时间段” | |||
VPN实例 | 对指定VPN实例中的报文有效 | vpn-instance-name:MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写 |
当protocol为tcp(6)或udp(17)时,用户还可配置如表1-12所示的规则信息参数。
表1-12 TCP/UDP特有的规则信息参数
定义TCP/UDP报文的源端口信息 | operator:操作符,取值可以为lt(小于)、gt(大于)、eq(等于)、neq(不等于)或者range(在范围内,包括边界值)。只有range操作符需要两个端口号做操作数,其它操作符只需要一个端口号做操作数 port1/port2:TCP或UDP的端口号,用数字表示时,取值范围为0~65535;用名称表示时,TCP端口号可选取chargen(19)、bgp(179)、cmd(514)、daytime(13)、discard(9)、dns(53)、domain(53)、echo (7)、exec (512)、finger(79)、ftp(21)、ftp-data(20)、gopher(70)、hostname(101)、irc(194)、klogin(543)、kshell(544)、login(513)、lpd(515)、nntp(119)、pop2(109)、pop3(110)、smtp(25)、sunrpc(111)、tacacs(49)、talk(517)、telnet(23)、time(37)、uucp(540)、whois(43)或www(80);UDP端口号可选取biff(512)、bootpc(68)、bootps(67)、discard(9)、dns(53)、dnsix(90)、echo (7)、mobilip-ag(434)、mobilip-mn(435)、nameserver(42)、netbios-dgm(138)、netbios-ns(137)、netbios-ssn(139)、ntp(123)、rip(520)、snmp(161)、snmptrap(162)、sunrpc(111)、syslog(514)、tacacs-ds(65)、talk(517)、tftp(69)、time(37)、who(513)或xdmcp(177) | ||
定义TCP/UDP报文的目的端口信息 | |||
{ ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * | TCP报文标识 | 定义对携带不同标志位(包括ACK、FIN、PSH、RST、SYN和URG六种)的TCP报文的处理规则 | TCP协议特有的参数。表示匹配携带不同标志位的TCP报文,各value的取值可为0或1(0表示不携带此标志位,1表示携带此标志位) 对于一条规则中各标志位的配置组合为“或”的关系。譬如:当配置为ack 0 psh 1时,将匹配不携带ACK或携带PSH标志位的TCP报文 |
TCP连接建立标识 | 定义对TCP连接报文的处理规则 | TCP协议特有的参数,表示匹配携带ACK或RST标志位的TCP连接报文 |
当protocol为icmpv6(58)时,用户还可配置如表1-13所示的规则信息参数。
表1-13 ICMPv6特有的规则信息参数
ICMPv6报文的消息类型和消息码 | 指定本规则中ICMPv6报文的消息类型和消息码信息 | icmp6-type:ICMPv6消息类型,取值范围为0~255 icmp6-code:ICMPv6消息码,取值范围为0~255 icmp6-message:ICMPv6消息名称。可以输入的ICMPv6消息名称,及其与消息类型和消息码的对应关系如表1-14所示 |
表1-14 ICMPv6消息名称与消息类型和消息码的对应关系
· 使用rule命令时,如果指定编号的规则不存在,则创建一条新的规则;如果指定编号的规则已存在,则对旧规则进行修改,即在其原有内容的基础上叠加新的内容。
· 新创建或修改的规则不能与已有规则的内容完全相同,否则将提示出错,并导致该操作失败。
· 当ACL的规则匹配顺序为配置顺序时,允许修改该ACL内的任意一条已有规则;当ACL的规则匹配顺序为自动排序时,不允许修改该ACL内的已有规则,否则将提示出错。
· 使用undo rule命令时,如果没有指定任何可选参数,则删除整条规则;如果指定了可选参数,则只删除该参数所对应的内容。
· 使用undo rule命令时必须指定一个已存在规则的编号,可以使用display acl ipv6 all命令来查看所有已存在的规则。
# 为IPv6高级ACL 3000创建规则如下:允许2030:5060::/64网段内的主机与FE80:5060::/96网段内主机的WWW端口(端口号为80)建立连接。
[Sysname] acl ipv6 advanced 3000
[Sysname-acl-ipv6-adv-3000] rule permit tcp source 2030:5060::/64 destination fe80:5060::/96 destination-port eq 80
# 为IPv6高级ACL 3001创建规则如下:允许IPv6报文通过,但拒绝发往FE80:5060:1001::/48网段的ICMPv6报文通过。
[Sysname] acl ipv6 advanced 3001
[Sysname-acl-ipv6-adv-3001] rule deny icmpv6 destination fe80:5060:1001:: 48
[Sysname-acl-ipv6-adv-3001] rule permit ipv6
# 为IPv6高级ACL 3002创建规则如下:在出、入双方向上都允许建立FTP连接并传输FTP数据。
[Sysname] acl ipv6 advanced 3002
[Sysname-acl-ipv6-adv-3002] rule permit tcp source-port eq ftp
[Sysname-acl-ipv6-adv-3002] rule permit tcp source-port eq ftp-data
[Sysname-acl-ipv6-adv-3002] rule permit tcp destination-port eq ftp
[Sysname-acl-ipv6-adv-3002] rule permit tcp destination-port eq ftp-data
# 为IPv6高级ACL 3003创建规则如下:在出、入双方向上都允许SNMP报文和SNMP Trap报文通过。
[Sysname] acl ipv6 advanced 3003
[Sysname-acl-ipv6-adv-3003] rule permit udp source-port eq snmp
[Sysname-acl-ipv6-adv-3003] rule permit udp source-port eq snmptrap
[Sysname-acl-ipv6-adv-3003] rule permit udp destination-port eq snmp
[Sysname-acl-ipv6-adv-3003] rule permit udp destination-port eq snmptrap
# 为IPv6高级ACL 3004创建规则如下:在含有逐跳头的报文中,只允许转发含有MLD选项(Type=5)的报文,丢弃其他报文。
[Sysname] acl ipv6 advanced 3004
[Sysname-acl-ipv6-adv-3004] rule permit ipv6 hop-by-hop type 5
[Sysname-acl-ipv6-adv-3004] rule deny ipv6 hop-by-hop
· acl logging interval
· time-range(ACL和QoS命令参考/时间段)
1.1.22 rule (IPv6 basic ACL view)
rule命令用来为IPv6基本ACL创建一条规则。
undo rule命令用来为IPv6基本ACL删除一条规则或删除规则中的部分内容。
undo rule rule-id [ counting | fragment | logging | routing | source | time-range | vpn-instance ] *
IPv6基本ACL内不存在任何规则。
IPv6基本ACL视图
rule-id:指定IPv6基本ACL规则的编号,取值范围为0~65534。若未指定本参数,系统将按照步长从0开始,自动分配一个大于现有最大编号的最小编号。譬如现有规则的最大编号为28,步长为5,那么自动分配的新编号将是30。
deny:表示拒绝符合条件的报文。
permit:表示允许符合条件的报文。
counting:表示使能规则匹配统计功能,缺省为关闭。
fragment:表示仅对非首片分片报文有效,而对非分片报文和首片分片报文无效。若未指定本参数,表示该规则对非分片报文和分片报文均有效。
logging:表示对符合条件的报文可记录日志信息。该功能需要使用该ACL的模块支持日志记录功能,例如报文过滤。
routing [ type routing-type ]:表示对所有或指定类型的路由头有效,routing-type表示路由头类型的值,取值范围为0~255。若指定了type routing-type参数,表示仅对指定类型的路由头有效;否则,表示对所有类型的路由头都有效。
source { source-address source-prefix | source-address/source-prefix | any }:指定规则的源IPv6地址信息。source-address表示报文的源IPv6地址,source-prefix表示源IPv6地址的前缀长度,取值范围为1~128,any表示任意源IPv6地址。
time-range time-range-name:指定本规则生效的时间段。time-range-name表示时间段的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。若该时间段尚未配置,该规则仍会成功创建但系统将给出提示信息,并在该时间段的配置完成后此规则才会生效。有关时间段的详细介绍和具体配置过程,请参见“ACL和QoS配置指导”中的“时间段”。
vpn-instance vpn-instance-name:表示对指定VPN实例中的报文有效。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,表示该规则仅对非VPN报文有效。
· 使用rule命令时,如果指定编号的规则不存在,则创建一条新的规则;如果指定编号的规则已存在,则对旧规则进行修改,即在其原有内容的基础上叠加新的内容。
· 新创建或修改的规则不能与已有规则的内容完全相同,否则将提示出错,并导致该操作失败。
· 当ACL的规则匹配顺序为配置顺序时,允许修改该ACL内的任意一条已有规则;当ACL的规则匹配顺序为自动排序时,不允许修改该ACL内的已有规则,否则将提示出错。
· 使用undo rule命令时,如果没有指定任何可选参数,则删除整条规则;如果指定了可选参数,则只删除该参数所对应的内容。
· 使用undo rule命令时必须指定一个已存在规则的编号,可以使用display acl ipv6 all命令来查看所有已存在的规则。
# 为IPv6基本ACL 2000创建规则如下:仅允许来自1001::/16、3124:1123::/32和FE80:5060:1001::/48网段的报文通过,而拒绝来自所有其它网段的报文通过。
[Sysname] acl ipv6 basic 2000
[Sysname-acl-ipv6-basic-2000] rule permit source 1001:: 16
[Sysname-acl-ipv6-basic-2000] rule permit source 3124:1123:: 32
[Sysname-acl-ipv6-basic-2000] rule permit source fe80:5060:1001:: 48
[Sysname-acl-ipv6-basic-2000] rule deny source any
· acl logging interval
· time-range(ACL和QoS命令参考/时间段)
- 2023-07-13回答
- 评论(1)
- 举报
-
(0)
风马牛不相及,这回答还不如chatgpt
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
请问PD前缀怎么指定