ACL y ACE basadas en IPv6 en switches gestionados serie 300

Actualizado:18 de agosto de 2017

ID del documento:SMB69

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

ACL y ACE basadas en IPv6 en switches gestionados serie 300

Objetivo

En este artículo se explica cómo crear una ACL y ACE basadas en IPv6 en switches gestionados serie 300. Puede permitir o denegar la entrada de paquetes a las direcciones IP configuradas en la lista de acceso. Las reglas para la ACL las proporcionan las entradas de control de acceso (ACE).

Dispositivos aplicables

Switches gestionados serie 300

Configuración de ACL y ACE Basadas en IPv6

ACL basada en IPv6

Paso 1. Utilice la utilidad de configuración para elegir Control de acceso > ACL basada en IPv6. Se abre la página ACL basada en IPv6. Esta página mostrará la lista de ACL definidas actualmente.

Paso 2. Haga clic en Agregar para agregar una nueva lista de acceso.

Paso 3. Introduzca un nombre para la lista de acceso en el campo Nombre de ACL.

Paso 4. Haga clic en Aplicar, que hace que la ACL basada en IPv6 se escriba en el archivo de configuración en ejecución.

Configuración ACE basada en IPv6

Para agregar una entrada de control de acceso (ACE) a la ACL, realice los pasos siguientes:

Paso 1. Utilice la utilidad de configuración para elegir Control de acceso > ACE basada en IPv6. Se abre la página ACE basada en IPv6:

Paso 2. Elija una ACL de la lista desplegable Nombre de ACL igual a y haga clic en Agregar. Aparece la ventana Add IPv6-based ACE.

Paso 3. Introduzca la prioridad de las ACE en el campo Priority (Prioridad). La prioridad más alta se procesa primero, que es 1. Tiene un rango de 1 a 2147483647.

Paso 4. Haga clic en el botón de opción correspondiente a la acción deseada que se produce cuando el paquete coincide en el campo Acción.

Permiso: permite que los paquetes coincidan con los criterios ACE.
Denegar: descarta paquetes que cumplen los criterios ACE.
Shutdown: descarta los paquetes que cumplen los criterios de ACE e inhabilita el puerto desde donde se recibieron los paquetes. Estos puertos se pueden reactivar desde la página de configuración de puertos.

Paso 5. Haga clic en el botón de opción correspondiente al protocolo deseado para la ACE, que se configuran para todos los protocolos de red enrutados para filtrar los paquetes a medida que estos paquetes pasan a través de un router.

Any: elegirá cualquiera de los protocolos ACE basados en IPv6.
Seleccionar de la lista: elija cualquiera de los protocolos de la lista desplegable (TCP, UDP, ICMP).
ID de protocolo para coincidir: se utiliza para hacer coincidir el protocolo con un ID. El valor predeterminado para diferentes protocolos como TCP es 6, UDP es 17 y para ICMP es 58 o el usuario puede definir cualquier valor en él.

Paso 6. Haga clic en Any si todas las direcciones de origen son aceptables o User Define si se debe ingresar un valor de dirección IP de origen con su longitud de prefijo en el campo Source IP Address .

Paso 7. Haga clic en Any si todas las direcciones de destino son aceptables o User Defined si se debe ingresar un valor de dirección IP de destino con su longitud de prefijo en el campo Destination IP Address .

Paso 8. El puerto de origen se habilita solamente cuando se elige el protocolo TCP y UDP del paso 5. Haga clic en Any si todo el puerto de origen es aceptable o Single valor del rango dado 0 - 65535 o se debe ingresar un rango del puerto de origen.

Paso 9. El puerto de destino se habilita solamente cuando se elige el protocolo TCP y UDP del paso 5. Haga clic en Any si todo el puerto de origen es aceptable o Single valor del rango dado 0 - 65535 o se debe ingresar un rango del puerto de destino.

Paso 10. Los indicadores TCP se habilitan sólo cuando se elige el protocolo TCP del paso 5. Haga clic en cualquiera de los indicadores con diferentes opciones como Set as 1 o on, Unset as 0 o off o Don't care as x.

Urg: este indicador se utiliza para identificar los datos entrantes como Urgente.
Ack: este indicador se utiliza para confirmar la recepción correcta de los paquetes.
Psh: este indicador se utiliza para garantizar que los datos reciben la prioridad (que merece) y se procesan en el extremo de envío o recepción.
Rst: este indicador se utiliza cuando llega un segmento que no está destinado a la conexión actual.
Syn: este indicador se utiliza para las comunicaciones TCP.
Fin: este indicador se utiliza cuando la comunicación o la transferencia de datos finaliza.

Paso 11. Haga clic en el botón de opción correspondiente al tipo de servicio deseado para el control de congestión del tráfico en el campo Tipo de servicio.

Any: cualquier tipo de servicio se utiliza para la congestión del tráfico.
DSCP para coincidir: el punto de código de servicio diferenciado (DSCP) es un mecanismo para clasificar y gestionar el tráfico de red. Seis bits(0-63) se utiliza para seleccionar el comportamiento por salto que experimenta un paquete en cada nodo.
Precedencia IP a coincidir: para establecer un tipo de preferencia para los paquetes IPv6. La palabra clave con valor de preferencia IP es 0 para rutinaria, 1 para prioridad, 2 para inmediata, 3 para flash, 4 para flash-override, 5 para crítico, 6 para internet, 7 para red.

Paso 12. El ICMP se habilita solamente cuando se elige el protocolo ICMP en el Paso 11. Se utiliza para enviar mensajes de error cuando el servicio no está disponible o no se ha podido alcanzar un host o un router. También se utiliza para retransmitir mensajes de consulta.

Any: puede ser cualquiera de los mensajes de error o de consulta.
Seleccionar de la lista: tiene una lista desplegable de mensajes de control permitidos como se muestra a continuación

- Destino inalcanzable: el host o su gateway lo genera para informar al cliente de que el destino es inalcanzable por alguna razón (error de red o host inalcanzable, etc).

- Paquete demasiado grande: el tamaño del datagrama se supera a la MTU dada.

- Tiempo excedido: un gateway lo genera para informar al origen de un datagrama descartado debido a que el campo de tiempo de vida alcanza el cero.

- Problema de parámetro: se genera como respuesta para cualquier error que no esté cubierto específicamente por otro mensaje ICMP.

- Solicitud de eco: es un ping, cuyos datos se espera recibir de nuevo en una respuesta de eco.

- Respuesta de eco: se genera en respuesta a una solicitud de eco.

- Consulta MLD: se utiliza para aprender qué direcciones multicast tienen receptores en un link adjunto. Escriba 130 en decimal.

- Informe MLD: se genera cuando la dirección de multidifusión IPv6 a la que escucha el remitente del mensaje

- Informe MLD V2: es lo mismo que Informe MLD con la versión 2.

- MLD Finalizado: cuando el host deja un grupo, envía un mensaje de receptor multicast a los routers multicast en la red

- Solicitud de router: es un mensaje de detección de router. Los hosts descubren las direcciones de sus routers vecinos simplemente escuchando anuncios. Valor predeterminado = 224.0.0.2 para multicast; de lo contrario, 255.255.255.255.

- Anuncio de router: el router retransmite periódicamente un anuncio de router desde cada una de sus interfaces multicast, anunciando las direcciones IP de esa interfaz.

- ND NS: los mensajes son originados por los nodos para solicitar la dirección de la capa de link de otro nodo y también para funciones como la detección de direcciones duplicadas y la detección de inaccesibilidad de vecinos

- ND NA: los mensajes se envían en respuesta a los mensajes NS. Si un nodo cambia su dirección de capa de link, puede enviar un NA no solicitado para anunciar la nueva dirección

Paso 13. El código ICMP se habilita solamente cuando se elige el protocolo ICMP del Paso 11. Se utiliza para proporcionar información más específica de los mensajes de control con un valor.

Tipo ICMP para que coincida: el usuario debe introducir un rango entre 0 y 255 para que coincida con los mensajes de control ICMP.
Any: puede ser cualquier valor que coincida con el mensaje del control.
Definido por el usuario: el valor se define desde el intervalo entre 0 y 255 para que coincida con los mensajes de control.

Paso 14. Haga clic en Aplicar que escribe la ACE basada en IPv6 en el archivo de configuración en ejecución.

Historial de revisiones

Revisión	Fecha de publicación	Comentarios
1.0	10-Dec-2018	Versión inicial

¿Resultó útil este documento?

Comentarios

Contacte a Cisco

Abrir un caso de soporte
(Requiere un Cisco Service Contract)