单元11保护IPv6网络安全技术

【技术背景】IPv6技术带有天然安全优势，在可溯源性、邻居发现协议、安全邻居发现协议等方面，大大提升安全。但在IPv6网络运行过程中，仍面临IPv6地址欺骗，需要实施IPv6安全地址绑定；面临DHCPv6服务器被攻击，需要实施DHCPv6Snooping安全、IPv6SourceGuard安全防护；面临ND协议欺骗，需要实施NDSnooping安全等安全防护。在针对不同区域网络之间安全防护时，还需要实施ACL6安全。

【学习目标】1.知识目标（1）了解IPv6安全地址绑定技术。（2）了解DHCPv6Snooping安全技术。（3）了解NDSnooping安全、IPv6RAGuard安全防护技术。（4）了解中ACL6安全技术。

【学习目标】2.技能目标（1）实施IPv6安全地址。（2）实施DHCPv6Snooping安全。（3）实施NDSnooping安全安全防护。（4）实施ACL6安全技术。

【学习目标】3.素养目标（1）学会整理知识笔记，按照标准格式制作实训报告。（2）能保持工作环境干净，实现物料放置地整洁，遵守6S现场管理标准。（3）学会和同伴友好沟通，建立友好团队合作关系。（4）在实训现场具有良好安全意识，懂得安全操作知识，严格按照安全标准流程操作。

任务11.4实施ACL6安全

【技术介绍】11.4.1什么是ACL6ACL6即IPv6ACL，指在IPv6网络中过滤IPv6报文的访问控制列表技术。ACL6对进出IPv6网络中IPv6报文控制，阻止或允许特定IPv6报文进入网络，控制IPv6网络中特定的用户访问网络目的。ACL6通过配置规则对特定IPv6数据包过滤。根据设定策略，允许或禁止相应IPv6数据包通过。和IPv4网络中实施ACL规则一样，ACL6规则对IPv6数据包分类，网络设备根据这些规则，判断哪些IPv6数据包可以接收，哪些IPv6数据包被拒绝。11.4在IPv6网络中实施ACL6安全

【技术介绍】1.ACL6匹配内容ACL6匹配顺序与过滤IPv4中ACL规则相同，也使用IPv6数据包中组成元素，控制IPv6数据包通过与否。如图所示5元素组合，能标识某数据包来龙（即源地址、源端口）、去脉（即目的地址、目的端口）和通信方式（协议号），唯一标识某一个IPv6数据包。11.4在IPv6网络中实施ACL6安全

【技术介绍】2.ACL6匹配的顺序如下创建一条ACL6规则，允许所有IPv6数据通过，后面语句将不被检查。Router(config)#ipv6access-listipv6_acl_name//创建名称为ipv6_acl规则Router(config-ipv6-nacl)#permitipv6anyany//允许所有ipv6报文通过Router(config-ipv6-nacl)#denyipv6host200::1any//拒绝2001::1报文通过第一条规则允许所有IPv6报文通过，从主机200::1上发出IPv6报文无法和后面那条deny规则匹配。设备在检查到报文和第一条规则匹配，便不再检查后面规则。11.4在IPv6网络中实施ACL6安全

【技术介绍】11.4.3配置ACL6规则（1）创建ACL6访问控制列表。在配置模式下，使用如下命令创建一个ACL6列表。Router(config)#ipv6access-listacl-name//进入ACL6配置模式（2）配置ACL6访问控制列表匹配规则。在ACL6访问控制列表模式下，使用如下命令配置一条规则。Router(config-ipv6-nacl)#[sn]{permit|deny}protocol{src-ipv6-prefix/prefix-len|hostsrc-ipv6-addr|any}{dst-ipv6-pfix/pfix-len|hostdst-ipv6-addr|any}[opdstport|rangelowerupper][dscpdscp][flow-labelflow-label][fragment][time-rangetm-rng-name]

【技术介绍】11.4.3配置ACL6规则其中，各项参数说明如下。sn：规则表序号，取值范围为[1~2147483647]。permit：表示规则允许通过。deny：表示规则禁止通过。protocol：IPv6协议，包括icmp、ipv6、tcp、udp。src-ipv6-prefix/prefix-len：表示匹配某一个IPv6网段内主机发出报文。