Ejemplo de Configuración de la Lista de Acceso de Filtrado de Tráfico IPv6

Opciones de descarga

  • PDF     (222.5 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (96.5 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (94.0 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:19 de noviembre de 2014
ID del documento:113126

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento facilita una configuración de muestra para las listas de acceso de IPv6. En el ejemplo descrito en este documento, los routers R1 y R2 se configuran con el esquema de direccionamiento IPv6 y se conectan a través del link serial. El protocolo de ruteo habilitado en los dos routers es IPv6 OSPF, y las direcciones de loopback configuradas en ambos routers (R1 y R2) se anuncian entre sí en el área 0 con este comando: ipv6 ospf process-id area-id [instance instance-id] . En este ejemplo, se requiere denegar el tráfico telnet que se origina desde la interfaz loopback 0 del router R2 y alcanza la interfaz loopback 4 del router R1.

Este ejemplo de configuración utiliza el comando ipv6 access-list access-list-name para construir una lista de acceso IPv6 (denominada DENY_TELNET_Lo4) en el router R1. Una sentencia deny tcp host 400A:0:400C::1 host 1001:ABC:2011:7::1 eq telnet es seguida por una sentencia permit permit ipv6 any.

Para asignar una ACL IPv6 a una interfaz, utilice este comando en el modo de configuración de la interfaz: ipv6 traffic-filter access-list-name {in | out}

Prerequisites

Requirements

Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

Componentes Utilizados

La información en este documento se basa en el Cisco 7200 Series Router en Cisco IOS Software Release 15.1 (para los routers R1 y R2 configuraciones).

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener información sobre las convenciones sobre documentos.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Use la Command Lookup Tool (sólo clientes registrados) para obtener más información sobre los comandos utilizados en este documento.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

ipv6-acl-01.gif

Configuraciones

En este documento, se utilizan estas configuraciones:

  • Router R1

  • Router R2

Router R1 
R1#show running-config

version 15.0
!
hostname R1
ip source-route
ip cef
!
no ip domain lookup
ipv6 unicast-routing

!--- Enables the forwarding of IPv6 packets.

ipv6 cef

interface Loopback1
 no ip address
 ipv6 address 100A:0:100C::1/64
 ipv6 enable
 ipv6 ospf 10 area 0

!--- Enables OSPFv3 on the interface and associates


!--- the interface looback1 to area 0.

 !
!
interface Loopback2
 no ip address
 ipv6 address 200A:0:200C::1/64
 ipv6 ospf 10 area 0
 !
!
interface Loopback3
 no ip address
 ipv6 address 300A:0:300C::1/64
 ipv6 enable
 ipv6 ospf 10 area 0
 !
!
interface Loopback4
 no ip address
 ipv6 address 400A:0:400C::1/64
 ipv6 enable
 ipv6 ospf 10 area 0
 !
interface Serial1/0
 no ip address
 ipv6 address AB01:2011:7:100::/64 eui-64
 ipv6 enable
 ipv6 ospf network point-to-point

!--- Sets the OSPFv3 network type as point-to-point.

 ipv6 ospf 10 area 0
 ipv6 traffic-filter DENY_TELNET_Lo4 in

!--- Filters the traffic based on access list.

 serial restart-delay 0
 clock rate 64000
 !
ipv6 router ospf 10
 router-id 1.1.1.1
 log-adjacency-changes
!
ipv6 access-list DENY_TELNET_Lo4
 sequence 20 deny tcp host 400A:0:400C::1 host 1001:ABC:2011:7::1 eq telnet

!--- Denies telnet access to Lo4 from Lo1 of router R2.

 permit ipv6 any any
!
end

Router R2 
R2#show running-config

version 15.0
hostname R2
ip source-route
ip cef
!
no ip domain lookup
ipv6 unicast-routing
ipv6 cef
!
interface Loopback0
 no ip address
 ipv6 address 1001:ABC:2011:7::1/64
 ipv6 enable
 ipv6 ospf 10 area 0
 !
!
interface Serial1/0
 no ip address
 ipv6 address AB01:2011:7:100::/64 eui-64
 ipv6 enable
 ipv6 ospf network point-to-point
 ipv6 ospf 10 area 0
 serial restart-delay 0
 !
ipv6 router ospf 10
 router-id 2.2.2.2
 log-adjacency-changes
!
end

Verificación

Para verificar la configuración, utilice el comando ping.

En el router R2

Este ejemplo de salida muestra que el router R2 puede alcanzar la interfaz de loopback del router R1:

R2#ping ipv6 400A:0:400C::1 source lo0

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 400A:0:400C::1, timeout is 2 seconds:
Packet sent with a source address of 1001:ABC:2011:7::1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 20/32/44 ms

Pruebe la interfaz telent loopback 4 del router R1 desde la interfaz loopback 0 del router R2.

R2#telnet 400A:0:400C::1 /source-interface lo0
Trying 400A:0:400C::1, 23 ...
% Connection refused by remote host

El resultado anterior confirma que el host remoto niega el telnet (es decir, el router R1).

Utilice el comando show ipv6 access-list DENY_TELNET_Lo4 para verificar la lista de acceso creada en el router R1 como se muestra en este ejemplo:

En el router R1 

R1#
show ipv6 access-list DENY_TELNET_Lo4

IPv6 access list DENY_TELNET_Lo4
    deny tcp host 400A:0:400C::1 host 1001:ABC:2011:7::1 eq telnet sequence 20    
    permit ipv6 any any (82 matches) sequence 30

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

Troubleshoot

Actualmente, no hay información específica de troubleshooting disponible para esta configuración.

Información Relacionada

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco