En este artículo se explica cómo crear una ACL y ACE basadas en IPv6 en switches gestionados serie 300. Puede permitir o denegar la entrada de paquetes a las direcciones IP configuradas en la lista de acceso. Las reglas para la ACL las proporcionan las entradas de control de acceso (ACE).
Paso 1. Utilice la utilidad de configuración para elegir Control de acceso > ACL basada en IPv6. Se abre la página ACL basada en IPv6. Esta página mostrará la lista de ACL definidas actualmente.
Paso 2. Haga clic en Agregar para agregar una nueva lista de acceso.
Paso 3. Introduzca un nombre para la lista de acceso en el campo Nombre de ACL.
Paso 4. Haga clic en Aplicar, que hace que la ACL basada en IPv6 se escriba en el archivo de configuración en ejecución.
Para agregar una entrada de control de acceso (ACE) a la ACL, realice los pasos siguientes:
Paso 1. Utilice la utilidad de configuración para elegir Control de acceso > ACE basada en IPv6. Se abre la página ACE basada en IPv6:
Paso 2. Elija una ACL de la lista desplegable Nombre de ACL igual a y haga clic en Agregar. Aparece la ventana Add IPv6-based ACE.
Paso 3. Introduzca la prioridad de las ACE en el campo Priority (Prioridad). La prioridad más alta se procesa primero, que es 1. Tiene un rango de 1 a 2147483647.
Paso 4. Haga clic en el botón de opción correspondiente a la acción deseada que se produce cuando el paquete coincide en el campo Acción.
Paso 5. Haga clic en el botón de opción correspondiente al protocolo deseado para la ACE, que se configuran para todos los protocolos de red enrutados para filtrar los paquetes a medida que estos paquetes pasan a través de un router.
Paso 6. Haga clic en Any si todas las direcciones de origen son aceptables o User Define si se debe ingresar un valor de dirección IP de origen con su longitud de prefijo en el campo Source IP Address .
Paso 7. Haga clic en Any si todas las direcciones de destino son aceptables o User Defined si se debe ingresar un valor de dirección IP de destino con su longitud de prefijo en el campo Destination IP Address .
Paso 8. El puerto de origen se habilita solamente cuando se elige el protocolo TCP y UDP del paso 5. Haga clic en Any si todo el puerto de origen es aceptable o Single valor del rango dado 0 - 65535 o se debe ingresar un rango del puerto de origen.
Paso 9. El puerto de destino se habilita solamente cuando se elige el protocolo TCP y UDP del paso 5. Haga clic en Any si todo el puerto de origen es aceptable o Single valor del rango dado 0 - 65535 o se debe ingresar un rango del puerto de destino.
Paso 10. Los indicadores TCP se habilitan sólo cuando se elige el protocolo TCP del paso 5. Haga clic en cualquiera de los indicadores con diferentes opciones como Set as 1 o on, Unset as 0 o off o Don't care as x.
Paso 11. Haga clic en el botón de opción correspondiente al tipo de servicio deseado para el control de congestión del tráfico en el campo Tipo de servicio.
Paso 12. El ICMP se habilita solamente cuando se elige el protocolo ICMP en el Paso 11. Se utiliza para enviar mensajes de error cuando el servicio no está disponible o no se ha podido alcanzar un host o un router. También se utiliza para retransmitir mensajes de consulta.
- Destino inalcanzable: el host o su gateway lo genera para informar al cliente de que el destino es inalcanzable por alguna razón (error de red o host inalcanzable, etc).
- Paquete demasiado grande: el tamaño del datagrama se supera a la MTU dada.
- Tiempo excedido: un gateway lo genera para informar al origen de un datagrama descartado debido a que el campo de tiempo de vida alcanza el cero.
- Problema de parámetro: se genera como respuesta para cualquier error que no esté cubierto específicamente por otro mensaje ICMP.
- Solicitud de eco: es un ping, cuyos datos se espera recibir de nuevo en una respuesta de eco.
- Respuesta de eco: se genera en respuesta a una solicitud de eco.
- Consulta MLD: se utiliza para aprender qué direcciones multicast tienen receptores en un link adjunto. Escriba 130 en decimal.
- Informe MLD: se genera cuando la dirección de multidifusión IPv6 a la que escucha el remitente del mensaje
- Informe MLD V2: es lo mismo que Informe MLD con la versión 2.
- MLD Finalizado: cuando el host deja un grupo, envía un mensaje de receptor multicast a los routers multicast en la red
- Solicitud de router: es un mensaje de detección de router. Los hosts descubren las direcciones de sus routers vecinos simplemente escuchando anuncios. Valor predeterminado = 224.0.0.2 para multicast; de lo contrario, 255.255.255.255.
- Anuncio de router: el router retransmite periódicamente un anuncio de router desde cada una de sus interfaces multicast, anunciando las direcciones IP de esa interfaz.
- ND NS: los mensajes son originados por los nodos para solicitar la dirección de la capa de link de otro nodo y también para funciones como la detección de direcciones duplicadas y la detección de inaccesibilidad de vecinos
- ND NA: los mensajes se envían en respuesta a los mensajes NS. Si un nodo cambia su dirección de capa de link, puede enviar un NA no solicitado para anunciar la nueva dirección
Paso 13. El código ICMP se habilita solamente cuando se elige el protocolo ICMP del Paso 11. Se utiliza para proporcionar información más específica de los mensajes de control con un valor.
Paso 14. Haga clic en Aplicar que escribe la ACE basada en IPv6 en el archivo de configuración en ejecución.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
10-Dec-2018 |
Versión inicial |