সিসকো আইওএস-এ আইপিভি 6 ওয়াইল্ডকার্ডের ম্যাচগুলি কি সম্ভব?

9

ফেসবুক তাদের আইপিভি 6 অ্যাড্রেস স্কিমটি নিয়ে খুব চালাক, তবে এটি আমাকে এসিএলগুলি সম্পর্কে চিন্তাভাবনা করেছে এবং সিসকো আইওএস আইপিভি 6 এসিএল লিখা সম্ভব যা মিলছে? আইপিভি 4 এ আপনি 'কেয়ার করবেন না' এর সাথে কোনও 'এক্স' হিট করার জন্য একটি 10.00xx.10.xxx এর মতো মাঝারি অষ্টেটের সাথে মিল রাখতে পারেন। আমি মনে করি না এটি আইপিভি 6 এ সম্ভব, কমপক্ষে আইওএস 15.1 এর হিসাবে নয়।

আমার উদাহরণের ক্ষেত্রে, যেহেতু ফেসবুক চতুর ছিল তাই এটি পারলে FACE: B00C তে কেবল মিলিয়ে নেওয়া সহজ করে তোলে। এটি একরকম সহজ করে দেয় কারণ কোনটি ব্লক নির্ধারিত হয়েছিল তা না দেখে, আমি কেবলমাত্র এই ব্যাপ্তির সাথে মিলিয়ে যেতে পারি।

2A03: 2880: F000: [0000-FFFF]: অভিব্যক্তিঃ B00C :: / 96

সুস্পষ্ট এবং স্বাভাবিক উপায় 2A03: 2880: F000 :: / 48 এ মিলছে তবে দুর্ভাগ্যক্রমে, আমি এফবিবি এর বৃহত্তর পরিসর (সম্ভবত আছে) থাকলে এক নজরে নিশ্চিত নই। সুতরাং এই বিশেষ ক্ষেত্রে, আমি যদি কেবলমাত্র FACE: B00C অংশের সাথে মিল করতে পারি, তবে তারা ধরে নিচ্ছে যে তারা FACE: B00D তে অগ্রসর হয় না, ধরে নিচ্ছি

যেহেতু আমি আইওএস এবং আইপিভি 6 এসিএলে একটি ওয়াইল্ডকার্ড মুখোশ প্রবেশ করতে পারছি না, তাই আপনি এটি করতে পারবেন বলে আমি মনে করি না তবে কারও কাছে একটি আকর্ষণীয় কাজের সুযোগ থাকলে আমি আগ্রহী। আমি মনে করি এটি জেনে রাখা উপকারী হবে কারণ কোনও কোনও বৃহত সরবরাহকারীর জন্য পুরো / 32 কে অবরুদ্ধ করতে না চাইলে কেবলমাত্র ডিডিওএস বা আগ্রাসী ট্র্যাফিকের কারণে আমাকে একটি সাব ব্লক ফিল্টার করতে হবে।

অতিরিক্তভাবে, এটি নীতি ভিত্তিক ট্র্যাফিক পুনঃনির্দেশ বা অগ্রাধিকারের জন্য মঞ্জুরি দিতে পারে। যদি আমি বুঝতে পারি যে বিজ্ঞাপনগুলি অন্য কোনও ব্লকের মধ্যে রয়েছে, তবে আমি সেগুলি আলাদাভাবে QoS করতে পারি উদাহরণস্বরূপ, লো ব্যান্ডউইথ, কনজিস্টেড উপগ্রহ লিঙ্কগুলির জন্য একটি দুর্দান্ত বৈশিষ্ট্য।

সম্পাদনা: কিছুটা স্পষ্ট করার জন্য। এমন ক্ষেত্রেও থাকতে পারে যেখানে বড় ব্লকের মধ্যে আমাকে একটি 32/32 এর মতো নির্দিষ্ট রেঞ্জগুলি ব্লক বা অনুমতি দেওয়ার দরকার হয়। এগুলি সামান্য সামঞ্জস্যপূর্ণ এবং শত শত এন্ট্রিগুলির পরিবর্তে একটি ওয়াইল্ডকার্ড তাদের বড় অংশগুলির সাথে মেলে। এটি ট্রাফিক ইঞ্জিনিয়ারিংয়ের জন্য যেভাবে আমি সমস্ত 10.x.10.0 ব্লকগুলিতে রুট করতে পারি সেদিকেও এটি ব্যবহার করা যেতে পারে যেখানে যদি x বিজোড় হয় তবে এটি একটি রুট বনাম অন্য পথেও যায়।

আর একটি উদাহরণ একটি ডিডিওএস যেখানে আইপিভি 6 সোর্স আইপি হ্যাকারদের গোষ্ঠীর নাম বানান করে এমন একটি প্যাটার্ন দিয়ে ফাঁকি দেওয়া হচ্ছে। এটি অন্তত একবার ঘটবে, এটির উপর ফিল্টার করতে পেরে ভাল লাগবে।

একটি কমপ্যাক্ট এসিএল ক্লিনার তবে সবসময় বেশি পরিচালিত হয় না। এই জিনিসগুলি ভাল বা খারাপ ধারণা / অনুশীলন হতে পারে, এখানে তর্ক করার জন্য নয়, আমার কাছে কী সরঞ্জামগুলি বনাম কী কী সরঞ্জাম তৈরি করতে হবে তা সম্পর্কে একটি হ্যান্ডেল পাওয়ার চেষ্টা করছি।

security  ipv6  cisco-ios  acl 
জন স্প্যাড - 'দাস্পপেআর'
সূত্র
আপনি যদি এসিএলগুলি পান তবে আপনি কীভাবে তা ব্যবহার করবেন তা অনুগ্রহ করে আমাদের বুঝতে সহায়তা করুন। এটি কি সুরক্ষার জন্য? যদি তা হয় তবে ফায়ারওয়ালগুলি কি আপনি এটিকে অফলোড করতে পারেন? ফায়ারওয়াল কেমন?
মাইক পেনিংটন
বিরক্ত করবেন না। আপনি যদি ফেসবুকের সন্ধান করেন, কেবল তাদের উপসর্গগুলি মেলে এবং এটি দিয়ে কাজটি করুন। আমি সম্প্রতি দেখেছি যেটি ছিল ...:face:b00c:0:1যা আপনার পদ্ধতির পছন্দ করবে না।
মাইকেল হ্যাম্পটন
আপনি যদি রেঞ্জগুলি অবরুদ্ধ করতে চান তবে সাবনেট ব্যবহার করুন। যদি এটি একটি / 48 ব্যবহার / 47, / 46 ... এর বেশি হয় তবে আমি নিশ্চিত নই যে আপনি এই দৃশ্যের সাথে "ওয়াইল্ডকার্ড" মিলে কী অর্জন করবেন। আপনি সম্ভবত কিছুটা আরও স্পষ্ট করতে পারেন?
সেবাস্তিয়ান উইসিংগার
কোন উত্তর কি আপনাকে সাহায্য করেছে? যদি তা হয় তবে আপনার উত্তরটি গ্রহণ করা উচিত যাতে উত্তরটি সন্ধান চিরকালের জন্য পপিং না হয়ে থাকে। বিকল্পভাবে, আপনি নিজের উত্তর সরবরাহ করতে এবং গ্রহণ করতে পারেন।
রন Maupin

উত্তর:

6

দুর্ভাগ্যক্রমে, সিসকো আইপিভি 6-এ ওয়াইল্ডকার্ড মুখোশগুলি সরিয়ে নিয়েছে। এটি বেশিরভাগই ভাল জিনিস, এই বিশেষ ক্ষেত্রে বাদে। আপনার ধারণাটি কাজ করার জন্য, আপনাকে ফেসবুকের উপর "চতুর" এবং ধারাবাহিক উভয়ই নির্ভর করতে হবে, যা সম্ভবত একের বেশি আশা করতে পারে।

তবে আপনি যদি অন্য ট্র্যাফিকের চেয়ে ফেসবুকের ট্র্যাফিককে আলাদাভাবে প্রক্রিয়া করতে চান তবে আপনি কেবল তাদের নির্ধারিত ঠিকানা ব্লকে ফিল্টার করতে পারেন। আপনি আপনার প্রশ্নের মধ্যে যেটির কথা উল্লেখ করেছেন তা আসলে ফেসবুক আয়ারল্যান্ডকে দেওয়া হয়েছে: 2a03: 2880 :: / 32 /

তবে নিবন্ধগুলিতে অন্যদের সন্ধান করা ঠিক তত সহজ।

রন ট্রাঙ্ক
সূত্র
মজাদার, কারণ এটি ফ্লোরিডার আমার ল্যাব থেকে ফেসবুকের সাথে সংযোগ স্থাপন করছি। জিওআইপি হ'ল অন্যরকম বাচ্চা। হ্যাঁ, জরিমানা, গ্রহণ / ফিল্টার / পুরো 32 টি ব্লক করুন। আমি যে ধারণাগত কারণটি জিজ্ঞাসা করছি তা আরও ব্যবহারিক, যেখানে কোনও আইএসপি একাধিক ব্লককে আপত্তিজনকভাবে বরাদ্দ করে। আমি অবরুদ্ধ করতে চাই, তবে আমি পুরো 32 / কেবলমাত্র নির্দিষ্ট / 48s বা / 64 গুলি অবরুদ্ধ করতে পারি না। FACE: B00C এর ব্যবহার একটি সহজ উদাহরণস্বরূপ উদাহরণ, তবে এটি সমানভাবে হতে পারে 2001: 2880: 0100-0FF0: FACE: B00C আমি ব্লক করতে চাই। এটি কোনও সাধারণ ফিল্টার হতে চলেছে না তবে আমি সর্বদা গ্রহণ করতে চাই : C0FF: EE:
জন স্প্যাড - 'দাস্প্প্যাডার'
1
@ জনস্প্যাড-'ড্যাস্প্যাডের 'এ /32যথেষ্ট বড় যে আপনি এটিকে অনেকগুলি সাবনেট ভাঙতে এবং বিশ্বব্যাপী এগুলি রুট করতে পারেন। এটি আইপিভি 4 আইপি অ্যাড্রেস হিসাবে অনেক সাবনেট ! হুইস রেকর্ডটি প্রায় সেই সময়ে অপ্রাসঙ্গিক। এবং জিওলোকেশন আইপিভি 6 অ্যাড্রেসের জন্য এখনও খুব ভাল নয়।
মাইকেল হ্যাম্পটন
5

আমি এফপিএমের সাথে কিছু খেলছিলাম এবং আমি মনে করি এটি আপনি যা খুঁজছেন তা করতে পারে:

load protocol system:fpm/phdf/ether.phdf
load protocol flash:/fpm/phdf/ipv6.phdf
!
class-map type stack match-all cm-ipv6
 match field ETHER type eq 0x86DD next IPV6
class-map type access-control match-all cm-ipv6-facebook
 match start IPV6 dest-addr offset 9 size 4 eq 0xFACEB00C
!
policy-map type access-control pm-ipv6-facebook
 class cm-ipv6-facebook
   drop
policy-map type access-control pm-filter
 class cm-ipv6
   log
  service-policy pm-ipv6-facebook
!
interface FastEthernet0/1
 service-policy type access-control input pm-filter

আমি এটির জন্য আমার নিজের আইপিভি 6.এফডিএফ ফাইলটি রোল করতে হয়েছিল:

<?xml version="1.0" encoding="UTF-8"?>
<phdf>
 <version>1</version>
 <protocol name="ipv6" description="Definition-for-the-IPv6-protocol">
 <field name="version" description="IP version">
  <offset type="fixed-offset" units="bits">0</offset>
  <length type="fixed" units="bits">4</length>
 </field>
 <field name="tc" description="IPv6-Traffic-Class">
  <offset type="fixed-offset" units="bits">4</offset>
  <length type="fixed" units="bits">8</length>
 </field>
  <field name="fl" description="IPv6-Flow-Label">
  <offset type="fixed-offset" units="bits">12</offset>
  <length type="fixed" units="bits">20</length>
 </field>
 <field name="length" description="IPv6-Payload-Length">
  <offset type="fixed-offset" units="bits">32</offset>
  <length type="fixed" units="bits">16</length>
 </field>
 <field name="nh" description="IPv6-Next-Header">
  <offset type="fixed-offset" units="bits">48</offset>
  <length type="fixed" units="bits">8</length>
 </field>
 <field name="hl" description="IPv6-Hop-Limit">
  <offset type="fixed-offset" units="bits">56</offset>
  <length type="fixed" units="bits">8</length>
 </field>
 <field name="source-addr" description="IPv6-Source-Address">
  <offset type="fixed-offset" units="bits">64</offset>
  <length type="fixed" units="bits">128</length>
 </field>
 <field name="dest-addr" description="IPv6-Destination-Address">
  <offset type="fixed-offset" units="bits">192</offset>
  <length type="fixed" units="bits">128</length>
 </field>
 <field name="payload-start" description="IPv6-Payload-Start">
  <offset type="fixed-offset" units="bits">320</offset>
  <length type="fixed" units="bits">0</length>
 </field>
 <headerlength type="fixed" value="320"></headerlength>
 <constraint field="version" value="6" operator="eq"></constraint>
</protocol>
</phdf>

দুর্ভাগ্যক্রমে, আমি যখন "নীতি-মানচিত্রের ধরণের অ্যাক্সেস-নিয়ন্ত্রণ ইন্টারফেস এফএক / 1 দেখান" তখন আমি ইথার টাইপের সাথে কোনও মিল পাই না:

FastEthernet0/1 

  Service-policy access-control input: pm-filter

    Class-map: cm-ipv6 (match-all)
      0 packets, 0 bytes
      5 minute offered rate 0 bps, drop rate 0 bps
      Match: field ETHER type eq 0x86DD next IPV6
      log

      Service-policy access-control : pm-ipv6-facebook

        Class-map: cm-ipv6-facebook (match-all)
          0 packets, 0 bytes
          5 minute offered rate 0 bps
          Match: start IPV6 dest-addr offset 9 size 4 eq 0xFACEB00C
      drop

        Class-map: class-default (match-any)
          0 packets, 0 bytes
          5 minute offered rate 0 bps, drop rate 0 bps
          Match: any 

    Class-map: class-default (match-any)
      10000 packets, 1863618 bytes
      5 minute offered rate 14000 bps, drop rate 0 bps
      Match: any 

আমি সন্দেহ করি যে ফেসবুকের আইপিভি 6 ঠিকানায় আমার পিংস সিইএফ দিয়ে সঠিকভাবে চলছে না ( এফপিএম এফএকিউ বলেছে এটি প্রয়োজন) অথবা আমি কিছু মিস করছি। তবুও, যে কেউ এটি চিবিয়ে দিতে চায় তাদের জন্য আমি এটি রাখছি।

জোডি লেমোইন
সূত্র
হাই জোডি, সৃজনশীল উত্তরের জন্য +1। সিসকো আইওএস প্রক্রিয়া স্তরের রাউটারটিতে এবং তার থেকে পিংস পরিচালনা করে (যেমন সিইএফ-স্যুইচড নয়) ... সমাধানটি প্রমাণের জন্য সম্ভবত রাউটারের পিছনে অন্য একটি হোস্ট যুক্ত করা উপযুক্ত।
মাইক পেনিংটন
আরে মাইক। ভাল যুক্তি. আমি আমার ম্যাক থেকে ফেসবুকে আমার সমস্ত পিং পরীক্ষা করছিলাম, সুতরাং এটি এখনও প্রক্রিয়া-স্যুইচিংয়ের সমস্যা হতে পারে, এটি রাউটারে উত্পন্ন বা সমাপ্ত হওয়ার কারণে নয়। এখনও এটি বের করার চেষ্টা করছি। মজার বিষয় হ'ল আমি প্যারেন্ট পলিসির 0x86dd ইথার টাইপের সাথে মিলও পাচ্ছি না।
জোডি লেমোইন 26'14
যদি রাউটারে এগুলির উত্স / সমাপ্তি না হয় তবে ipv6 সিফ সক্ষম হওয়া অবধি সেফ স্যুইচ করা উচিত।
মাইক পেনিংটন
আইপিভি 6 সিইএফ অবশ্যই রয়েছে, তাই আমি মনে করি আমরা সেখানে ভাল আছি। সত্যিই ভাবছেন কেন ইথার টাইপটিতে কোনও মিল নেই।
জোডি লেমোইন 26'14
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.