access list con ipv6
Páginas: 5 (1204 palabras)
Publicado: 23 de septiembre de 2014
ACL IPv6
John Rullan
Formador de instructores certificado
por Cisco
Thomas A.Edison CTE HS
Stephen Lynch
Arquitecto de redes, CCIE n.º 36243
ABS Technology Architects
• Las listas de control de acceso (ACL) de IPv6 son similares a las
ACL de IPv4 en cuanto a la configuración y al funcionamiento. Si
las listas de acceso de IPv4 les resultan familiares, las ACL de
IPv6 seránfáciles de comprender y configurar.
• IPv6 solo tiene un tipo de ACL, equivalente a una ACL extendida
de IPv4.
• No existen ACL numeradas en IPv6, solo se las llama ACL.
• IPv4 utiliza el comando ip access-group para aplicar una ACL
de IPv4 a una interfaz de IPv4. IPv6 utiliza el comando ipv6
traffic-filter para realizar la misma función para las ACL de IPv6.
• Las ACL de IPv6 no utilizanmáscaras comodín. Como
alternativa, la longitud del prefijo se utiliza para indicar cuál será
la coincidencia de una dirección de origen o destino de IPv6.
© 2013 Cisco y/o sus filiales. Todos los derechos reservados.
Información pública de Cisco
2
2001:DB8:CAFE::2/127
Internet
S0/0/0
R2
S0/0/1
2001:DB8:CC1E::/127
2001:DB8:CC1E:A::/64
S0/0/0
ISP_ASW
R12001:DB8:CC1E:1::/64
S1
2001:DB8:CC1E:2::/64
S2
Host
externo
2001:DB8:CC1E:A::1/64
Admin
2001:DB8:CC1E:1::1/64
© 2013 Cisco y/o sus filiales. Todos los derechos reservados.
Host
2001:DB8:CC1E:2::1/64
Servidor DNS
2001:DB8:CC1E:A::2/64
Servidor web
www.cisco.pka
2001:DB8:CC1E:A::2/64
Información pública de Cisco
3
2001:DB8:CC1E:1::/64
S12001:DB8:CC1E:2::/64
S2
R1
Admin
2001:DB8:CC1E:1::1/64
Host
2001:DB8:CC1E:2::1/64
• En este ejemplo, solo permitiremos que la PC Admin haga telnet
en R1 y le denegaremos acceso al resto.
• Utilice el comando ipv6 access-list para crear una ACL de IPv6.
Al igual que los nombres de las ACL de IPv4, los nombres en
IPv6 son alfanuméricos, distinguen entre mayúsculas y
minúsculas, ydeben ser únicos.
• Utilice permit o deny para especificar una o más condiciones
que determinen si se reenvía o se descarta un paquete.
• Utilice ipv6 access-class para aplicar la ACL a las líneas VTY.
© 2013 Cisco y/o sus filiales. Todos los derechos reservados.
Información pública de Cisco
4
• La instrucción permit solo permite que la PC Admin haga telnet
en R1.
• Lainstrucción implícita deny (sin configurar) no le permitirá al
resto establecer una sesión telnet en R1.
• Aplique la ACL a las líneas VTY mediante ipv6 access-class y
utilice in como dirección.
R1(config)#ipv6 access-list NO_TELNET
R1(config-ipv6-acl)#permit tcp host 2001:db8:cc1e:1::1 any eq 23
R1(config-ipv6-acl)#exit
R1(config)#line vty 0 15
R1(config-line)#ipv6 access-class NO_TELNET inR1(config-line)#exit
R1(config)#
© 2013 Cisco y/o sus filiales. Todos los derechos reservados.
Información pública de Cisco
5
• El comando show access-lists muestra las ACL de IPv4 y IPv6
configuradas en el router.
• El comando show ipv6 access-list muestra todas las listas de
acceso de IPv6 configuradas por nombre (no las ACL de IPv6
con número).
R1#show ipv6 access-listIPv6 access list NO_TELNET
permit tcp host 2001:DB8:CC1E:1::1 any eq telnet
2001:DB8:CC1E:1::/64
S1
Admin
2001:DB8:CC1E:1::1/64
© 2013 Cisco y/o sus filiales. Todos los derechos reservados.
2001:DB8:CC1E:2::/64
R1
S2
Host
2001:DB8:CC1E:2::1/64
Información pública de Cisco
6
Configuren una ACL extendida para
bloquear el tráfico HTTP y FTP de
aplicaciones de TCPque se origine
en las direcciones IPv6 de las PC
Admin y Host cuando el destino es
LAN Internet. Permitan otros tipos de
tráfico.
R1(config)#ipv6 access-list DENY_WWW_FTP
R1(config-ipv6-acl)#remark Deny WWW and FTP access from R1 LANs to Web Server
R1(config-ipv6-acl)#deny tcp 2001:db8:cc1e:1::/64 2001:db8:cc1e:a::/64 eq www
R1(config-ipv6-acl)#deny tcp 2001:db8:cc1e:1::/64...
John Rullan
Formador de instructores certificado
por Cisco
Thomas A.Edison CTE HS
Stephen Lynch
Arquitecto de redes, CCIE n.º 36243
ABS Technology Architects
• Las listas de control de acceso (ACL) de IPv6 son similares a las
ACL de IPv4 en cuanto a la configuración y al funcionamiento. Si
las listas de acceso de IPv4 les resultan familiares, las ACL de
IPv6 seránfáciles de comprender y configurar.
• IPv6 solo tiene un tipo de ACL, equivalente a una ACL extendida
de IPv4.
• No existen ACL numeradas en IPv6, solo se las llama ACL.
• IPv4 utiliza el comando ip access-group para aplicar una ACL
de IPv4 a una interfaz de IPv4. IPv6 utiliza el comando ipv6
traffic-filter para realizar la misma función para las ACL de IPv6.
• Las ACL de IPv6 no utilizanmáscaras comodín. Como
alternativa, la longitud del prefijo se utiliza para indicar cuál será
la coincidencia de una dirección de origen o destino de IPv6.
© 2013 Cisco y/o sus filiales. Todos los derechos reservados.
Información pública de Cisco
2
2001:DB8:CAFE::2/127
Internet
S0/0/0
R2
S0/0/1
2001:DB8:CC1E::/127
2001:DB8:CC1E:A::/64
S0/0/0
ISP_ASW
R12001:DB8:CC1E:1::/64
S1
2001:DB8:CC1E:2::/64
S2
Host
externo
2001:DB8:CC1E:A::1/64
Admin
2001:DB8:CC1E:1::1/64
© 2013 Cisco y/o sus filiales. Todos los derechos reservados.
Host
2001:DB8:CC1E:2::1/64
Servidor DNS
2001:DB8:CC1E:A::2/64
Servidor web
www.cisco.pka
2001:DB8:CC1E:A::2/64
Información pública de Cisco
3
2001:DB8:CC1E:1::/64
S12001:DB8:CC1E:2::/64
S2
R1
Admin
2001:DB8:CC1E:1::1/64
Host
2001:DB8:CC1E:2::1/64
• En este ejemplo, solo permitiremos que la PC Admin haga telnet
en R1 y le denegaremos acceso al resto.
• Utilice el comando ipv6 access-list para crear una ACL de IPv6.
Al igual que los nombres de las ACL de IPv4, los nombres en
IPv6 son alfanuméricos, distinguen entre mayúsculas y
minúsculas, ydeben ser únicos.
• Utilice permit o deny para especificar una o más condiciones
que determinen si se reenvía o se descarta un paquete.
• Utilice ipv6 access-class para aplicar la ACL a las líneas VTY.
© 2013 Cisco y/o sus filiales. Todos los derechos reservados.
Información pública de Cisco
4
• La instrucción permit solo permite que la PC Admin haga telnet
en R1.
• Lainstrucción implícita deny (sin configurar) no le permitirá al
resto establecer una sesión telnet en R1.
• Aplique la ACL a las líneas VTY mediante ipv6 access-class y
utilice in como dirección.
R1(config)#ipv6 access-list NO_TELNET
R1(config-ipv6-acl)#permit tcp host 2001:db8:cc1e:1::1 any eq 23
R1(config-ipv6-acl)#exit
R1(config)#line vty 0 15
R1(config-line)#ipv6 access-class NO_TELNET inR1(config-line)#exit
R1(config)#
© 2013 Cisco y/o sus filiales. Todos los derechos reservados.
Información pública de Cisco
5
• El comando show access-lists muestra las ACL de IPv4 y IPv6
configuradas en el router.
• El comando show ipv6 access-list muestra todas las listas de
acceso de IPv6 configuradas por nombre (no las ACL de IPv6
con número).
R1#show ipv6 access-listIPv6 access list NO_TELNET
permit tcp host 2001:DB8:CC1E:1::1 any eq telnet
2001:DB8:CC1E:1::/64
S1
Admin
2001:DB8:CC1E:1::1/64
© 2013 Cisco y/o sus filiales. Todos los derechos reservados.
2001:DB8:CC1E:2::/64
R1
S2
Host
2001:DB8:CC1E:2::1/64
Información pública de Cisco
6
Configuren una ACL extendida para
bloquear el tráfico HTTP y FTP de
aplicaciones de TCPque se origine
en las direcciones IPv6 de las PC
Admin y Host cuando el destino es
LAN Internet. Permitan otros tipos de
tráfico.
R1(config)#ipv6 access-list DENY_WWW_FTP
R1(config-ipv6-acl)#remark Deny WWW and FTP access from R1 LANs to Web Server
R1(config-ipv6-acl)#deny tcp 2001:db8:cc1e:1::/64 2001:db8:cc1e:a::/64 eq www
R1(config-ipv6-acl)#deny tcp 2001:db8:cc1e:1::/64...
Leer documento completo
Regístrate para leer el documento completo.