IPv6 Wildcard ตรงกันใน Cisco IOS ที่เป็นไปได้หรือไม่

Facebook ฉลาดมากกับรูปแบบที่อยู่ IPv6 ของพวกเขา แต่ฉันคิดว่าเกี่ยวกับ ACLs และเป็นไปได้ไหมที่จะเขียน Cisco IOS IPv6 ACL ที่ตรงกับหรือไม่ ใน IPv4 คุณสามารถจับคู่ octet กลางเช่น 10.xxx.10.xxx เพื่อที่จะกด 'x' ด้วย 'ไม่สนใจ' ฉันไม่คิดว่ามันเป็นไปได้ใน IPv6 อย่างน้อยก็ไม่ใช่ของ iOS 15.1

ในกรณีตัวอย่างของฉันเนื่องจาก Facebook นั้นฉลาดทำให้ง่ายต่อการจับคู่ FACE: B00C ถ้าคุณทำได้ ด้วยวิธีนี้ทำให้ง่ายขึ้นเนื่องจากไม่ต้องค้นหาบล็อกที่กำหนดฉันสามารถจับคู่ช่วงนั้นได้

2A03: 2880: F000: [0000-FFFF]: FACE: B00C :: / 96

วิธีที่ชัดเจนและปกติคือจับคู่กับ 2A03: 2880: F000 :: / 48 แต่น่าเสียดายที่ฉันไม่แน่ใจถ้า FB มีช่วงกว้างกว่า (อาจเป็น) ดังนั้นในกรณีนี้หากฉันสามารถจับคู่เฉพาะส่วน FACE: B00C ฉันสามารถจับคู่ทุกสิ่งที่พวกเขากำลังใช้อยู่โดยสมมติว่าพวกเขาไม่ย้ายไปที่ FACE: B00D

เนื่องจากฉันไม่สามารถใส่สัญลักษณ์ตัวแทนใน IOS สำหรับและ IPv6 ACL ฉันไม่คิดว่าคุณสามารถทำได้ แต่ฉันอยากรู้ว่าใครบางคนมีวิธีแก้ปัญหาที่น่าสนใจ ฉันคิดว่ามันจะมีประโยชน์ที่จะรู้เรื่องนี้เพราะในบางจุดฉันอาจจำเป็นต้องกรองบล็อกย่อยเพียงเพราะ DDoS หรือปริมาณการใช้งานที่ก้าวร้าวในขณะที่ไม่ต้องการบล็อกทั้งหมด / 32 สำหรับผู้ให้บริการขนาดใหญ่บางราย

นอกจากนี้อาจอนุญาตการเปลี่ยนเส้นทางทราฟฟิกหรือการจัดลำดับความสำคัญตามนโยบาย ถ้าฉันรู้ว่าโฆษณาอยู่ในบล็อกที่แตกต่างกันฉันสามารถ QoS ต่างกันเช่นคุณลักษณะที่ดีสำหรับแบนด์วิดท์ต่ำลิงค์ดาวเทียมที่แออัด

แก้ไข: เพื่อชี้แจงเล็กน้อย อาจมีบางกรณีที่ฉันต้องปิดกั้นหรืออนุญาตบางช่วงในบล็อกขนาดใหญ่เช่น / 32 สิ่งเหล่านี้อาจอยู่ติดกันเล็กน้อยและแทนที่จะเป็นหลายร้อยรายการสัญลักษณ์แทนอาจตรงกับส่วนใหญ่ของรายการ นี่อาจใช้สำหรับวิศวกรรมจราจรในวิธีที่ฉันสามารถกำหนดเส้นทางทั้งหมด 10.x.10.0 บล็อกโดยที่ถ้า x เป็นเลขคี่มันจะไปหนึ่งเส้นทางเทียบกับเส้นทางอื่น

อีกตัวอย่างหนึ่งคือ DDoS ที่ IP ต้นทางของ IPv6 กำลังถูกหลอกด้วยรูปแบบที่สะกดชื่อกลุ่มของแฮ็กเกอร์ สิ่งนี้จะเกิดขึ้นอย่างน้อยหนึ่งครั้งมันจะเป็นการดีที่จะสามารถกรองมันได้

ACL ขนาดกะทัดรัดนั้นสะอาดกว่า แต่ไม่สามารถจัดการได้มากกว่าเสมอ สิ่งเหล่านี้อาจเป็นความคิด / การปฏิบัติที่ดีหรือไม่ดีไม่ใช่ที่นี่เพื่อโต้แย้งว่าเพียงพยายามจัดการกับเครื่องมือใดที่ฉันมีกับเครื่องมือใดที่ฉันอาจต้องสร้าง

น่าเสียดายที่ Cisco ไม่ได้ใช้สัญลักษณ์แทนใน IPv6 นั่นเป็นสิ่งที่ดีส่วนใหญ่ยกเว้นในกรณีนี้โดยเฉพาะ อย่างไรก็ตามเพื่อให้ความคิดของคุณทำงานได้คุณจะต้องพึ่งพา Facebook ทั้ง "ฉลาด" และสอดคล้องกันซึ่งอาจเป็นมากกว่าหนึ่งความหวัง

แต่ถ้าคุณต้องการประมวลผลปริมาณการใช้งาน Facebook แตกต่างจากปริมาณข้อมูลอื่นคุณสามารถกรองที่อยู่ที่ได้รับมอบหมาย คำถามที่คุณพูดถึงในคำถามของคุณถูกกำหนดให้กับ Facebook Ireland: 2a03: 2880 :: / 32

แต่มันง่ายมากที่จะค้นหาคนอื่น ๆ ในทะเบียน

ฉันกำลังเล่นกับFPMและฉันคิดว่ามันอาจทำสิ่งที่คุณต้องการ:

load protocol system:fpm/phdf/ether.phdf
load protocol flash:/fpm/phdf/ipv6.phdf
!
class-map type stack match-all cm-ipv6
 match field ETHER type eq 0x86DD next IPV6
class-map type access-control match-all cm-ipv6-facebook
 match start IPV6 dest-addr offset 9 size 4 eq 0xFACEB00C
!
policy-map type access-control pm-ipv6-facebook
 class cm-ipv6-facebook
   drop
policy-map type access-control pm-filter
 class cm-ipv6
   log
  service-policy pm-ipv6-facebook
!
interface FastEthernet0/1
 service-policy type access-control input pm-filter

ฉันต้องม้วนไฟล์ ipv6.phdf ของตัวเองสำหรับไฟล์นี้:

<?xml version="1.0" encoding="UTF-8"?>
<phdf>
 <version>1</version>
 <protocol name="ipv6" description="Definition-for-the-IPv6-protocol">
 <field name="version" description="IP version">
  <offset type="fixed-offset" units="bits">0</offset>
  <length type="fixed" units="bits">4</length>
 </field>
 <field name="tc" description="IPv6-Traffic-Class">
  <offset type="fixed-offset" units="bits">4</offset>
  <length type="fixed" units="bits">8</length>
 </field>
  <field name="fl" description="IPv6-Flow-Label">
  <offset type="fixed-offset" units="bits">12</offset>
  <length type="fixed" units="bits">20</length>
 </field>
 <field name="length" description="IPv6-Payload-Length">
  <offset type="fixed-offset" units="bits">32</offset>
  <length type="fixed" units="bits">16</length>
 </field>
 <field name="nh" description="IPv6-Next-Header">
  <offset type="fixed-offset" units="bits">48</offset>
  <length type="fixed" units="bits">8</length>
 </field>
 <field name="hl" description="IPv6-Hop-Limit">
  <offset type="fixed-offset" units="bits">56</offset>
  <length type="fixed" units="bits">8</length>
 </field>
 <field name="source-addr" description="IPv6-Source-Address">
  <offset type="fixed-offset" units="bits">64</offset>
  <length type="fixed" units="bits">128</length>
 </field>
 <field name="dest-addr" description="IPv6-Destination-Address">
  <offset type="fixed-offset" units="bits">192</offset>
  <length type="fixed" units="bits">128</length>
 </field>
 <field name="payload-start" description="IPv6-Payload-Start">
  <offset type="fixed-offset" units="bits">320</offset>
  <length type="fixed" units="bits">0</length>
 </field>
 <headerlength type="fixed" value="320"></headerlength>
 <constraint field="version" value="6" operator="eq"></constraint>
</protocol>
</phdf>

น่าเสียดายที่เมื่อฉัน "แสดงอินเตอร์เฟซการควบคุมการเข้าถึงประเภทนโยบายแผนที่ fa0 / 1" ฉันไม่พบ ethertype ใน:

FastEthernet0/1 

  Service-policy access-control input: pm-filter

    Class-map: cm-ipv6 (match-all)
      0 packets, 0 bytes
      5 minute offered rate 0 bps, drop rate 0 bps
      Match: field ETHER type eq 0x86DD next IPV6
      log

      Service-policy access-control : pm-ipv6-facebook

        Class-map: cm-ipv6-facebook (match-all)
          0 packets, 0 bytes
          5 minute offered rate 0 bps
          Match: start IPV6 dest-addr offset 9 size 4 eq 0xFACEB00C
      drop

        Class-map: class-default (match-any)
          0 packets, 0 bytes
          5 minute offered rate 0 bps, drop rate 0 bps
          Match: any 

    Class-map: class-default (match-any)
      10000 packets, 1863618 bytes
      5 minute offered rate 14000 bps, drop rate 0 bps
      Match: any 

ฉันสงสัยว่าการส่ง Ping ไปยังที่อยู่ IPv6 ของ Facebook ไม่สามารถทำงานผ่าน CEF ได้อย่างถูกต้อง ( คำถามที่พบบ่อยเกี่ยวกับFPMระบุว่าจำเป็น) หรือฉันพลาดบางอย่าง แต่ถึงกระนั้นฉันก็เอามันออกมาสำหรับทุกคนที่ต้องการที่จะเคี้ยวมัน