IPv6 Wildcard ตรงกันใน Cisco IOS ที่เป็นไปได้หรือไม่


9

Facebook ฉลาดมากกับรูปแบบที่อยู่ IPv6 ของพวกเขา แต่ฉันคิดว่าเกี่ยวกับ ACLs และเป็นไปได้ไหมที่จะเขียน Cisco IOS IPv6 ACL ที่ตรงกับหรือไม่ ใน IPv4 คุณสามารถจับคู่ octet กลางเช่น 10.xxx.10.xxx เพื่อที่จะกด 'x' ด้วย 'ไม่สนใจ' ฉันไม่คิดว่ามันเป็นไปได้ใน IPv6 อย่างน้อยก็ไม่ใช่ของ iOS 15.1

ในกรณีตัวอย่างของฉันเนื่องจาก Facebook นั้นฉลาดทำให้ง่ายต่อการจับคู่ FACE: B00C ถ้าคุณทำได้ ด้วยวิธีนี้ทำให้ง่ายขึ้นเนื่องจากไม่ต้องค้นหาบล็อกที่กำหนดฉันสามารถจับคู่ช่วงนั้นได้

2A03: 2880: F000: [0000-FFFF]: FACE: B00C :: / 96

วิธีที่ชัดเจนและปกติคือจับคู่กับ 2A03: 2880: F000 :: / 48 แต่น่าเสียดายที่ฉันไม่แน่ใจถ้า FB มีช่วงกว้างกว่า (อาจเป็น) ดังนั้นในกรณีนี้หากฉันสามารถจับคู่เฉพาะส่วน FACE: B00C ฉันสามารถจับคู่ทุกสิ่งที่พวกเขากำลังใช้อยู่โดยสมมติว่าพวกเขาไม่ย้ายไปที่ FACE: B00D

เนื่องจากฉันไม่สามารถใส่สัญลักษณ์ตัวแทนใน IOS สำหรับและ IPv6 ACL ฉันไม่คิดว่าคุณสามารถทำได้ แต่ฉันอยากรู้ว่าใครบางคนมีวิธีแก้ปัญหาที่น่าสนใจ ฉันคิดว่ามันจะมีประโยชน์ที่จะรู้เรื่องนี้เพราะในบางจุดฉันอาจจำเป็นต้องกรองบล็อกย่อยเพียงเพราะ DDoS หรือปริมาณการใช้งานที่ก้าวร้าวในขณะที่ไม่ต้องการบล็อกทั้งหมด / 32 สำหรับผู้ให้บริการขนาดใหญ่บางราย

นอกจากนี้อาจอนุญาตการเปลี่ยนเส้นทางทราฟฟิกหรือการจัดลำดับความสำคัญตามนโยบาย ถ้าฉันรู้ว่าโฆษณาอยู่ในบล็อกที่แตกต่างกันฉันสามารถ QoS ต่างกันเช่นคุณลักษณะที่ดีสำหรับแบนด์วิดท์ต่ำลิงค์ดาวเทียมที่แออัด

แก้ไข: เพื่อชี้แจงเล็กน้อย อาจมีบางกรณีที่ฉันต้องปิดกั้นหรืออนุญาตบางช่วงในบล็อกขนาดใหญ่เช่น / 32 สิ่งเหล่านี้อาจอยู่ติดกันเล็กน้อยและแทนที่จะเป็นหลายร้อยรายการสัญลักษณ์แทนอาจตรงกับส่วนใหญ่ของรายการ นี่อาจใช้สำหรับวิศวกรรมจราจรในวิธีที่ฉันสามารถกำหนดเส้นทางทั้งหมด 10.x.10.0 บล็อกโดยที่ถ้า x เป็นเลขคี่มันจะไปหนึ่งเส้นทางเทียบกับเส้นทางอื่น

อีกตัวอย่างหนึ่งคือ DDoS ที่ IP ต้นทางของ IPv6 กำลังถูกหลอกด้วยรูปแบบที่สะกดชื่อกลุ่มของแฮ็กเกอร์ สิ่งนี้จะเกิดขึ้นอย่างน้อยหนึ่งครั้งมันจะเป็นการดีที่จะสามารถกรองมันได้

ACL ขนาดกะทัดรัดนั้นสะอาดกว่า แต่ไม่สามารถจัดการได้มากกว่าเสมอ สิ่งเหล่านี้อาจเป็นความคิด / การปฏิบัติที่ดีหรือไม่ดีไม่ใช่ที่นี่เพื่อโต้แย้งว่าเพียงพยายามจัดการกับเครื่องมือใดที่ฉันมีกับเครื่องมือใดที่ฉันอาจต้องสร้าง


โปรดช่วยเราเข้าใจว่าคุณจะใช้ ACL อย่างไรถ้าคุณได้รับ เพื่อความปลอดภัยหรือไม่ ถ้าเป็นเช่นนั้นมีไฟร์วอลล์ที่คุณสามารถขนถ่ายมันได้หรือไม่? ไฟร์วอลล์ชนิดใด
Mike Pennington

ไม่รำคาญ หากคุณกำลังมองหา Facebook เพียงตรงกับคำนำหน้าและทำกับมัน ฉันเพิ่งเห็นสิ่ง...:face:b00c:0:1ที่วิธีการของคุณจะไม่รับ
Michael Hampton

หากคุณต้องการปิดกั้นช่วงให้ใช้เครือข่ายย่อย หากมีมากกว่า / 48 ใช้ / 47, / 46 ... ฯลฯ ฉันไม่แน่ใจว่าสิ่งที่คุณจะทำได้ด้วยการจับคู่ "ตัวแทน" ในสถานการณ์นี้ คุณสามารถอธิบายเพิ่มเติมอีกเล็กน้อยได้ไหม?
เซบาสเตียน Wiesinger

คำตอบใดช่วยคุณได้บ้าง ถ้าเป็นเช่นนั้นคุณควรยอมรับคำตอบเพื่อที่คำถามจะไม่โผล่ขึ้นมาเรื่อย ๆ โดยมองหาคำตอบ หรือคุณสามารถให้และยอมรับคำตอบของคุณเอง
Ron Maupin

คำตอบ:


6

น่าเสียดายที่ Cisco ไม่ได้ใช้สัญลักษณ์แทนใน IPv6 นั่นเป็นสิ่งที่ดีส่วนใหญ่ยกเว้นในกรณีนี้โดยเฉพาะ อย่างไรก็ตามเพื่อให้ความคิดของคุณทำงานได้คุณจะต้องพึ่งพา Facebook ทั้ง "ฉลาด" และสอดคล้องกันซึ่งอาจเป็นมากกว่าหนึ่งความหวัง

แต่ถ้าคุณต้องการประมวลผลปริมาณการใช้งาน Facebook แตกต่างจากปริมาณข้อมูลอื่นคุณสามารถกรองที่อยู่ที่ได้รับมอบหมาย คำถามที่คุณพูดถึงในคำถามของคุณถูกกำหนดให้กับ Facebook Ireland: 2a03: 2880 :: / 32

แต่มันง่ายมากที่จะค้นหาคนอื่น ๆ ในทะเบียน


สนุกเพราะบล็อกใน Facebook ฉันกำลังเชื่อมต่อจากห้องปฏิบัติการของฉันในฟลอริด้า GeoIP เป็นคำโหยหาอีกเรื่องหนึ่ง ใช่ดียอมรับ / กรอง / บล็อกทั้งหมด / 32 เหตุผลทางความคิดที่ฉันขอนั้นมีประโยชน์มากกว่าโดยที่ ISP กำหนดชุดของบล็อกที่ไม่เหมาะสม ฉันต้องการบล็อก แต่ไม่สามารถบล็อกได้ทั้งหมด / 32 เฉพาะ / 48s หรือ / 64s เท่านั้น การใช้ FACE: B00C เป็นตัวอย่างที่ง่าย แต่ก็อาจเท่ากับ 2001: 2880: 0100-0FF0: FACE: B00C ฉันต้องการบล็อก มันจะไม่เป็นตัวกรองทั่วไป แต่ฉันต้องการยอมรับเสมอ: C0FF: EE:
John Spade - 'DaSpadeR'

1
@ JohnSpade-'DaSpadeR 'A /32ใหญ่พอที่คุณจะสามารถแบ่งย่อยออกเป็นซับเน็ตจำนวนมากและกำหนดเส้นทางไปทั่วโลก นั่นเป็นซับเน็ตจำนวนมากเท่ากับที่อยู่ IP ของ IPv4! ระเบียน whois นั้นแทบไม่เกี่ยวข้องเลยในตอนนั้น และการระบุตำแหน่งทางภูมิศาสตร์ยังไม่ดีสำหรับที่อยู่ IPv6
Michael Hampton

5

ฉันกำลังเล่นกับFPMและฉันคิดว่ามันอาจทำสิ่งที่คุณต้องการ:

load protocol system:fpm/phdf/ether.phdf
load protocol flash:/fpm/phdf/ipv6.phdf
!
class-map type stack match-all cm-ipv6
 match field ETHER type eq 0x86DD next IPV6
class-map type access-control match-all cm-ipv6-facebook
 match start IPV6 dest-addr offset 9 size 4 eq 0xFACEB00C
!
policy-map type access-control pm-ipv6-facebook
 class cm-ipv6-facebook
   drop
policy-map type access-control pm-filter
 class cm-ipv6
   log
  service-policy pm-ipv6-facebook
!
interface FastEthernet0/1
 service-policy type access-control input pm-filter

ฉันต้องม้วนไฟล์ ipv6.phdf ของตัวเองสำหรับไฟล์นี้:

<?xml version="1.0" encoding="UTF-8"?>
<phdf>
 <version>1</version>
 <protocol name="ipv6" description="Definition-for-the-IPv6-protocol">
 <field name="version" description="IP version">
  <offset type="fixed-offset" units="bits">0</offset>
  <length type="fixed" units="bits">4</length>
 </field>
 <field name="tc" description="IPv6-Traffic-Class">
  <offset type="fixed-offset" units="bits">4</offset>
  <length type="fixed" units="bits">8</length>
 </field>
  <field name="fl" description="IPv6-Flow-Label">
  <offset type="fixed-offset" units="bits">12</offset>
  <length type="fixed" units="bits">20</length>
 </field>
 <field name="length" description="IPv6-Payload-Length">
  <offset type="fixed-offset" units="bits">32</offset>
  <length type="fixed" units="bits">16</length>
 </field>
 <field name="nh" description="IPv6-Next-Header">
  <offset type="fixed-offset" units="bits">48</offset>
  <length type="fixed" units="bits">8</length>
 </field>
 <field name="hl" description="IPv6-Hop-Limit">
  <offset type="fixed-offset" units="bits">56</offset>
  <length type="fixed" units="bits">8</length>
 </field>
 <field name="source-addr" description="IPv6-Source-Address">
  <offset type="fixed-offset" units="bits">64</offset>
  <length type="fixed" units="bits">128</length>
 </field>
 <field name="dest-addr" description="IPv6-Destination-Address">
  <offset type="fixed-offset" units="bits">192</offset>
  <length type="fixed" units="bits">128</length>
 </field>
 <field name="payload-start" description="IPv6-Payload-Start">
  <offset type="fixed-offset" units="bits">320</offset>
  <length type="fixed" units="bits">0</length>
 </field>
 <headerlength type="fixed" value="320"></headerlength>
 <constraint field="version" value="6" operator="eq"></constraint>
</protocol>
</phdf>

น่าเสียดายที่เมื่อฉัน "แสดงอินเตอร์เฟซการควบคุมการเข้าถึงประเภทนโยบายแผนที่ fa0 / 1" ฉันไม่พบ ethertype ใน:

FastEthernet0/1 

  Service-policy access-control input: pm-filter

    Class-map: cm-ipv6 (match-all)
      0 packets, 0 bytes
      5 minute offered rate 0 bps, drop rate 0 bps
      Match: field ETHER type eq 0x86DD next IPV6
      log

      Service-policy access-control : pm-ipv6-facebook

        Class-map: cm-ipv6-facebook (match-all)
          0 packets, 0 bytes
          5 minute offered rate 0 bps
          Match: start IPV6 dest-addr offset 9 size 4 eq 0xFACEB00C
      drop

        Class-map: class-default (match-any)
          0 packets, 0 bytes
          5 minute offered rate 0 bps, drop rate 0 bps
          Match: any 

    Class-map: class-default (match-any)
      10000 packets, 1863618 bytes
      5 minute offered rate 14000 bps, drop rate 0 bps
      Match: any 

ฉันสงสัยว่าการส่ง Ping ไปยังที่อยู่ IPv6 ของ Facebook ไม่สามารถทำงานผ่าน CEF ได้อย่างถูกต้อง ( คำถามที่พบบ่อยเกี่ยวกับFPMระบุว่าจำเป็น) หรือฉันพลาดบางอย่าง แต่ถึงกระนั้นฉันก็เอามันออกมาสำหรับทุกคนที่ต้องการที่จะเคี้ยวมัน


สวัสดีโจดี้ +1 สำหรับคำตอบที่สร้างสรรค์ Cisco IOS จัดการการส่ง Ping ไปและกลับจากเราเตอร์ในระดับกระบวนการ (เช่นไม่ใช่การสลับ CEF) ... บางทีมันอาจคุ้มค่าที่จะเพิ่มโฮสต์อื่นที่อยู่เบื้องหลังเราเตอร์เพื่อพิสูจน์วิธีแก้ปัญหา
Mike Pennington

เฮ้ไมค์ จุดดี. ฉันทำการทดสอบ ping ทั้งหมดจาก Mac ของฉันไปที่ Facebook ดังนั้นในขณะที่มันอาจยังคงเป็นปัญหาการสลับกระบวนการ แต่ก็ไม่ใช่เพราะมันเกิดขึ้นหรือสิ้นสุดลงที่เราเตอร์ ยังคงพยายามหาอันนี้ สิ่งที่น่าสนใจคือฉันไม่ได้รับการจับคู่กับนโยบายแม่แบบ 0x86dd ของ ethertype
Jody Lemoine

หากพวกเขาไม่ได้มา / สิ้นสุดที่เราเตอร์พวกเขาควรจะเปลี่ยน cef ตราบใดที่เปิดใช้งาน ipv6 cef
Mike Pennington

IPv6 CEF เปิดแน่นอนฉันคิดว่าเราทำได้ดี จริงๆสงสัยว่าทำไมไม่มีการแข่งขันใน ethertype
Jody Lemoine
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.