क्या सिस्को IOS में IPv6 वाइल्डकार्ड मैच संभव हैं?

फेसबुक अपने आईपीवी 6 पता योजना के साथ बहुत चालाक है, लेकिन यह मुझे एसीएल के बारे में सोच रहा है और क्या सिस्को आईओएस आईपीवी 6 एसीएल को लिखना संभव है? IPv4 में आप किसी भी 'x' को 'केयर केयर' से टकराने के लिए 10.xxx.10.xxx जैसे मध्य ऑक्टेट से मिलान कर सकते हैं। मुझे नहीं लगता कि यह IPv6 में संभव है, कम से कम IOS 15.1 के रूप में नहीं।

मेरे उदाहरण के मामले में, चूंकि फेसबुक चालाक है, इसलिए यदि आप कर सकते हैं तो FACE: B00C पर सिर्फ मैच करना आसान हो जाता है। एक तरह से यह सरल हो जाता है क्योंकि बिना यह देखे कि किस ब्लॉक को सौंपा गया था, मैं बस उस सीमा पर मिलान कर सकता हूं।

2A03: 2880: F000: [0000-FFFF]: चेहरा: B00C :: / 96

स्पष्ट और सामान्य तरीका 2A03: 2880: F000 :: / 48 पर मेल करना है, लेकिन दुर्भाग्य से, मुझे एक नज़र में यकीन नहीं है कि एफबी की एक बड़ी रेंज है (शायद करता है)। तो इस विशेष मामले में, अगर मैं सिर्फ FACE: B00C भाग पर मेल कर सकता हूं, तो मैं उन सभी चीजों का मिलान कर सकता हूं जो वे उपयोग कर रहे हैं, यह मानते हुए कि वे FACE पर नहीं जाते हैं: B00D

चूंकि, मैं और Iv6 ACL के लिए IOS में वाइल्डकार्ड मास्क दर्ज नहीं कर सकता, इसलिए मुझे नहीं लगता कि आप ऐसा कर सकते हैं, लेकिन अगर कोई दिलचस्प काम करता है तो मैं उत्सुक हूं। मुझे लगता है कि यह जानना उपयोगी होगा क्योंकि कुछ बिंदु पर मुझे केवल DDoS या आक्रामक ट्रैफ़िक के कारण सब-ब्लॉक को फ़िल्टर करने की आवश्यकता हो सकती है, जबकि कुछ बड़े प्रदाता के लिए संपूर्ण / 32 ब्लॉक नहीं करना चाहते हैं।

इसके अतिरिक्त, यह नीति आधारित यातायात पुनर्निर्देशन या प्राथमिकता के लिए अनुमति दे सकता है। अगर मुझे लगता है कि विज्ञापन एक अलग ब्लॉक में हैं, तो मैं उन्हें अलग-अलग उदाहरणों के लिए क्यूओएस कर सकता हूं, कम बैंडविड्थ, भीड़भाड़ वाले सैटेलाइट लिंक के लिए एक अच्छी सुविधा।

संपादित करें: थोड़ा स्पष्ट करने के लिए। ऐसे मामले हो सकते हैं जहां मुझे / 32 / जैसे बड़े ब्लॉक के भीतर कुछ श्रेणियों को ब्लॉक करने या अनुमति देने की आवश्यकता होती है। ये थोड़े संक्रामक हो सकते हैं और सैकड़ों प्रविष्टियों के बजाय, एक वाइल्डकार्ड उनके बड़े हिस्से से मेल खा सकता है। यह भी यातायात इंजीनियरिंग के लिए इस्तेमाल किया जा सकता है जिस तरह से मैं सभी 10.x.10.0 ब्लॉकों को रूट कर सकता हूं जहां अगर x विषम है, तो यह एक मार्ग बनाम दूसरे मार्ग पर भी जाता है।

एक अन्य उदाहरण एक DDoS है जहां IPv6 स्रोत IP हैकर्स के समूह के नाम को बदलने वाले पैटर्न के साथ खराब हो रहा है। यह कम से कम एक बार होगा, इसे छानने में सक्षम होना अच्छा होगा।

एक कॉम्पैक्ट ACL क्लीनर है, लेकिन हमेशा अधिक प्रबंधनीय नहीं है। ये चीजें अच्छे या बुरे विचार / अभ्यास हो सकते हैं, यहां तर्क करने के लिए नहीं, बस कोशिश करनी चाहिए कि मेरे पास कौन से उपकरण हैं जो मुझे बनाने के लिए क्या उपकरण हैं।

— जॉन स्पेड - 'DaSpadeR'
स्रोत

कृपया हमें यह समझने में मदद करें कि यदि आप उन्हें प्राप्त करते हैं तो आप एसीएल का उपयोग कैसे करेंगे। क्या यह सुरक्षा के लिए है? यदि हां, तो क्या फ़ायरवॉल हैं जो आप इसे बंद कर सकते हैं? किस तरह का फ़ायरवॉल?

— माइक पेनिंगटन

परेशान मत करो। यदि आप फेसबुक की तलाश कर रहे हैं, तो बस उनके उपसर्गों का मिलान करें और उसके साथ किया जाए। मैंने हाल ही में एक देखा ...:face:b00c:0:1जो आपका दृष्टिकोण नहीं था।

— माइकल हैम्पटन

यदि आप श्रेणियों को ब्लॉक करना चाहते हैं, तो सबनेट का उपयोग करें। यदि यह / 48 उपयोग / 47, / 46 ... आदि से अधिक है, तो मुझे यकीन नहीं है कि आप इस परिदृश्य में "वाइल्डकार्ड" के साथ क्या करेंगे। क्या आप शायद थोड़ा और स्पष्ट कर सकते हैं?

— सेबेस्टियन विसिंगर 8

क्या किसी उत्तर ने आपकी मदद की? यदि हां, तो आपको उत्तर को स्वीकार करना चाहिए ताकि प्रश्न हमेशा के लिए पॉपअप न हो जाए, उत्तर की तलाश में है। वैकल्पिक रूप से, आप अपना स्वयं का उत्तर प्रदान कर सकते हैं और स्वीकार कर सकते हैं।

— रॉन Maupin

जवाबों:

दुर्भाग्य से, सिस्को ने आईपीवी 6 में वाइल्डकार्ड मास्क के साथ भाग लिया। यह ज्यादातर एक अच्छी बात है, इस विशेष मामले में EXCEPT। हालाँकि, आपके काम करने के विचार के लिए, आपको फेसबुक पर "चतुर" और सुसंगत दोनों होने का भरोसा करना होगा, जो संभवतः एक से अधिक हो सकता है।

लेकिन अगर आप फेसबुक के ट्रैफ़िक को अन्य ट्रैफ़िक की तुलना में अलग तरीके से संसाधित करना चाहते हैं, तो आप बस उनके असाइन किए गए एड्रेस ब्लॉक पर फ़िल्टर कर सकते हैं। आपके द्वारा अपने प्रश्न का उल्लेख वास्तव में फेसबुक आयरलैंड को सौंपा गया है: 2a03: 2880 :: / 32।

लेकिन रजिस्ट्रियों में दूसरों को देखना उतना ही आसान है।

— रॉन ट्रंक
स्रोत

मनोरंजक, क्योंकि यह फेसबुक पर ब्लॉक मैं फ्लोरिडा में अपनी प्रयोगशाला से कनेक्ट कर रहा हूँ। जियोआईपी एक और शेख़ी है। हाँ, ठीक है, स्वीकार / फ़िल्टर / ब्लॉक पूरे / 32। वैचारिक कारण जो मैं पूछ रहा हूं वह अधिक व्यावहारिक है, जहां एक आईएसपी उन ब्लॉकों की एक श्रृंखला प्रदान करता है जो अपमानजनक हो रहे हैं। मैं ब्लॉक करना चाहता हूं, लेकिन मैं पूरे / 32 को केवल विशिष्ट / 48s या / 64s को ब्लॉक नहीं कर सकता। FACE: B00C का उपयोग एक आसान उदाहरण है, लेकिन यह समान रूप से 2001: 2880: 0100-0FF0: FACE: B00C को अवरुद्ध करना चाहता है। यह एक आम फ़िल्टर नहीं है, लेकिन मैं हमेशा स्वीकार करना चाहूंगा : C0FF: EE:

— जॉन स्पेड - 'DaSpadeR'

@ JohnSpade-'DaSpadeR 'ए /32काफी बड़ा है कि आप इसे बहुत सारे सबनेट में तोड़ सकते हैं और दुनिया भर में उन्हें रूट कर सकते हैं। कि IPv4 IP पते के रूप में कई सबनेट हैं ! उस बिंदु पर whois रिकॉर्ड लगभग अप्रासंगिक है। और जियोलोकेशन अभी तक IPv6 पतों के लिए बहुत अच्छा नहीं है।

— माइकल हैम्पटन

मैं FPM के साथ कुछ खेल रहा था और मुझे लगता है कि यह वही हो सकता है जो आप देख रहे हैं:

load protocol system:fpm/phdf/ether.phdf
load protocol flash:/fpm/phdf/ipv6.phdf
!
class-map type stack match-all cm-ipv6
 match field ETHER type eq 0x86DD next IPV6
class-map type access-control match-all cm-ipv6-facebook
 match start IPV6 dest-addr offset 9 size 4 eq 0xFACEB00C
!
policy-map type access-control pm-ipv6-facebook
 class cm-ipv6-facebook
   drop
policy-map type access-control pm-filter
 class cm-ipv6
   log
  service-policy pm-ipv6-facebook
!
interface FastEthernet0/1
 service-policy type access-control input pm-filter

मुझे इस के लिए अपनी खुद की ipv6.phdf फाइल रोल करनी थी:

<?xml version="1.0" encoding="UTF-8"?>
<phdf>
 <version>1</version>
 <protocol name="ipv6" description="Definition-for-the-IPv6-protocol">
 <field name="version" description="IP version">
  <offset type="fixed-offset" units="bits">0</offset>
  <length type="fixed" units="bits">4</length>
 </field>
 <field name="tc" description="IPv6-Traffic-Class">
  <offset type="fixed-offset" units="bits">4</offset>
  <length type="fixed" units="bits">8</length>
 </field>
  <field name="fl" description="IPv6-Flow-Label">
  <offset type="fixed-offset" units="bits">12</offset>
  <length type="fixed" units="bits">20</length>
 </field>
 <field name="length" description="IPv6-Payload-Length">
  <offset type="fixed-offset" units="bits">32</offset>
  <length type="fixed" units="bits">16</length>
 </field>
 <field name="nh" description="IPv6-Next-Header">
  <offset type="fixed-offset" units="bits">48</offset>
  <length type="fixed" units="bits">8</length>
 </field>
 <field name="hl" description="IPv6-Hop-Limit">
  <offset type="fixed-offset" units="bits">56</offset>
  <length type="fixed" units="bits">8</length>
 </field>
 <field name="source-addr" description="IPv6-Source-Address">
  <offset type="fixed-offset" units="bits">64</offset>
  <length type="fixed" units="bits">128</length>
 </field>
 <field name="dest-addr" description="IPv6-Destination-Address">
  <offset type="fixed-offset" units="bits">192</offset>
  <length type="fixed" units="bits">128</length>
 </field>
 <field name="payload-start" description="IPv6-Payload-Start">
  <offset type="fixed-offset" units="bits">320</offset>
  <length type="fixed" units="bits">0</length>
 </field>
 <headerlength type="fixed" value="320"></headerlength>
 <constraint field="version" value="6" operator="eq"></constraint>
</protocol>
</phdf>

दुर्भाग्य से, जब मैं "नीति-मानचित्र प्रकार एक्सेस-कंट्रोल इंटरफ़ेस fa0 / 1" दिखाता हूं, तो मुझे ई-मेल पर कोई मेल नहीं मिलता है:

FastEthernet0/1 

  Service-policy access-control input: pm-filter

    Class-map: cm-ipv6 (match-all)
      0 packets, 0 bytes
      5 minute offered rate 0 bps, drop rate 0 bps
      Match: field ETHER type eq 0x86DD next IPV6
      log

      Service-policy access-control : pm-ipv6-facebook

        Class-map: cm-ipv6-facebook (match-all)
          0 packets, 0 bytes
          5 minute offered rate 0 bps
          Match: start IPV6 dest-addr offset 9 size 4 eq 0xFACEB00C
      drop

        Class-map: class-default (match-any)
          0 packets, 0 bytes
          5 minute offered rate 0 bps, drop rate 0 bps
          Match: any 

    Class-map: class-default (match-any)
      10000 packets, 1863618 bytes
      5 minute offered rate 14000 bps, drop rate 0 bps
      Match: any

मुझे संदेह है कि फेसबुक के आईपीवी 6 पते पर मेरे पिंग सीईएफ के माध्यम से ठीक से नहीं चल रहे हैं ( एफपीएम एफएक्यू का कहना है कि यह आवश्यक है) या कुछ याद आ रही है। फिर भी, मैं इसे किसी ऐसे व्यक्ति के लिए बाहर रख रहा हूं जो इसे चबाना चाहता है।

— जोडी लेमोइन
स्रोत

हाय Jody, एक रचनात्मक जवाब के लिए +1। सिस्को IOS प्रक्रिया-स्तर पर (और न ही CEF- स्विच्ड) राउटर से पिंग को संभालता है ... शायद यह समाधान साबित करने के लिए राउटर के पीछे एक और होस्ट जोड़ने के लायक है।

— माइक पेनिंगटन

हे माइक। अच्छी बात। मैं अपने मैक से फेसबुक पर अपने सभी पिंग परीक्षण कर रहा था, इसलिए जब तक यह अभी भी एक प्रक्रिया-स्विचिंग समस्या हो सकती है, ऐसा नहीं है क्योंकि यह राउटर में उत्पन्न या समाप्त हो गया है। अभी भी यह पता लगाने की कोशिश कर रहा है। दिलचस्प बात यह है कि मुझे पैरेंट पॉलिसी के 0x86dd इथराइप पर एक मेल भी नहीं मिल रहा है।

— जोड़ी लेमोइन

यदि वे राउटर पर उत्पन्न / समाप्त नहीं होते हैं, तो उन्हें cef स्विच किया जाना चाहिए, जब तक कि ipv6 cef सक्षम न हो।

— माइक पेनिंगटन

IPv6 CEF निश्चित रूप से है, इसलिए मुझे लगता है कि हम वहां अच्छे हैं। वास्तव में सोच रहा था कि ईथर पर कोई मेल क्यों नहीं है।

— जोडी लेमोइन