4.5.1.3: Solución de problemas de ACL de IPv6 (situación 2)

Este escenario de solución de problemas de ACL de IPv6 utiliza la topología que se muestra en la Figura 1.

Figura 1: Topología de ACL de IPv6 para el escenario 2

R3 está configurada con una ACL de IPv6 llamada RESTRICTED-ACCESS que debe aplicar la siguiente política para la LAN del R3:

• Permitir acceso a la red :10.
• Denegar acceso a la red :11.
• Permitir acceso de SSH a la PC en 2001:DB8:CAFE:11::11.

Sin embargo, después de configurar la ACL, la PC3 no puede llegar a la red 10 o la red 11, y no puede utilizar SSH en el host en 2001:DB8:CAFE:11::11.

Solución: En esta situación, el problema no se debe a cómo se aplicó la ACL. En la interfaz, la ACL no se escribe mal y la dirección y la ubicación son correctas, como se muestra en el Ejemplo 1.

Ejemplo 1: Verifique la configuración de la interfaz de ACL de IPv6

R3# show running-config | section interface GigabitEthernet0/0 interface GigabitEthernet0/0  no ip address  duplex auto  speed auto  ipv6 address FE80::3 link-local  ipv6 address 2001:DB8:1:30::1/64  ipv6 eigrp 1  ipv6 traffic-filter RESTRICTED-ACCESS in R3#

Una mirada más detallada a la ACL de IPv6 que se muestra en el ejemplo 2 revela que el problema está en el pedido y los criterios de las reglas de ACE.

Ejemplo 2: Verifique las declaraciones de ACL de IPv6

R3# show ipv6 access-list IPv6 access list RESTRICTED-ACCESS     permit ipv6 any host 2001:DB8:CAFE:10:: sequence 10     deny ipv6 any 2001:DB8:CAFE:11::/64 sequence 20     permit tcp any host 2001:DB8:CAFE:11::11 eq 22 sequence 30 R3#

La primera declaración de permiso debería permitir el acceso a la red :10. Sin embargo, el administrador configuró una instrucción de host y no especificó un prefijo. En este caso, se otorga acceso únicamente a 2001:DB8:CAFE:10:: se permite el host. Para corregir este problema, elimine el argumento de host y cambie el prefijo /64 a. Puede hacer esto sin eliminar la ACL reemplazando el ACE mediante el número de secuencia 10, como se muestra en el Ejemplo. 3.

Ejemplo 3: Reemplace la instrucción de host de ACL de IPv6

R3(config)# ipv6 access-list RESTRICTED-ACCESS R3(config-ipv6-acl)# permit ipv6 any 2001:db8:cafe:10::/64 sequence 10 R3(config-ipv6-acl)# end R3# show access-list IPv6 access list RESTRICTED-ACCESS     permit ipv6 any 2001:DB8:CAFE:10::/64 sequence 10     deny ipv6 any 2001:DB8:CAFE:11::/64 sequence 20     permit tcp any host 2001:DB8:CAFE:11::11 eq 22 sequence 30 R3#

El segundo error en la ACL es el orden de las dos siguientes afirmaciones. La política especifica que los hosts en la LAN del R3 deben poder utilizar SSH en el host 2001:DB8:CAFE:11::11. Sin embargo, la declaración deny para la red :11 se encuentra antes de la declaración permit. Por lo tanto, todos los intentos para acceder al: se deniega la red 11 antes de que la instrucción que permite el acceso de SSH puede evaluarse. Una vez que se establece una coincidencia, no se analizan otras sentencias. Para corregir este problema, necesitará eliminar las sentencias primero y, luego, ingresarlas en el orden correcto, como se muestra en el Ejemplo. 4.

Ejemplo 4: Reordene las declaraciones de ACL de IPv6

R3(config)# ipv6 access-list RESTRICTED-ACCESS R3(config-ipv6-acl)# no deny ipv6 any 2001:DB8:CAFE:11::/64 R3(config-ipv6-acl)# no permit tcp any host 2001:DB8:CAFE:11::11 eq 22 R3(config-ipv6-acl)# permit tcp any host 2001:DB8:CAFE:11::11 eq 22 R3(config-ipv6-acl)# deny ipv6 any 2001:DB8:CAFE:11::/64 R3(config-ipv6-acl)# end R3# show access-list IPv6 access list RESTRICTED-ACCESS     permit ipv6 any 2001:DB8:CAFE:10::/64 sequence 10     permit tcp any host 2001:DB8:CAFE:11::11 eq 22 sequence 20     deny ipv6 any 2001:DB8:CAFE:11::/64 sequence 30 R3#