Page 533 - Untitled
P. 533

CAPÍTULO 11: IP VERSIÓN 6

                    REGLAS IMPLÍCITAS EN ACLS IPV6


                       Una de las mayores diferencias radica en las reglas implícitas pertenecientes en
                    IPv4 e IPv6. Mientras que el primero tan solo incluye un “deny any any” como última
                    sentencia, IPv6 agrega 3, definidas en el siguiente orden:

                       permit icmp any any nd-na
                       permit icmp any any nd-ns
                       deny any any

                       ¿Por qué resulta necesario permitir paquetes ICMP por defecto? ICMPv6 alberga
                    numerosas utilidades, influyendo de manera directa sobre operaciones básicas del
                    protocolo IPv6. Una de estas operaciones consiste en el descubrimiento de vecinos,
                    ejecutado por NDP y gracias al cual los hosts pueden obtener de manera automática
                    información de la red a la que pertenecen, como su id, prefijo, o el cálculo de una
                    dirección IP sin necesidad de DHCP. Para lograrlo, NDP hace uso de los paquetes icmp
                    nd-na e icmp nd-ns. Es por ello que dichos mensajes deben ser permitidos de manera
                    implícita en IPv6.



                    ACL IPV6 ESTÁNDAR


                            Una  ACL  estándar  en  IPv4  es  aquella  que  tan  solo  basa  su  filtrado  en  la
                    dirección  de  origen  del  paquete,  sin  necesidad  de  especificar  ningún  otro  tipo  de
                    parámetro. Este concepto cambia radicalmente en IPv6, donde, primero, no resulta
                    necesario identificar la ACL como estándar, y segundo, puede ser definido tanto el
                    origen como el destino de la comunicación. En este caso, el comando necesario para
                    cada una de las sentencias es [permit | deny] ipv6 [origen] [destino], donde:


                    - [permit | deny] indica la acción a ejecutar ante paquetes que cumplan todas las
                    condiciones definidas en la sentencia.

                    - ipv6 identifica el protocolo sobre el cual se llevará a cabo la acción. IPv6 en este
                    caso.


                    - [origen] hace referencia al origen de la comunicación, pudiendo definir 3 valores:
                            - any, para cualquier dirección de origen.
                            - host [ip/prefijo], para un dispositivo en concreto.
                            - [red/prefijo], cuando el origen representa una red o conjunto de hosts.


                    - [destino], hace referencia al destino de la comunicación, permitiendo las mismas
                    opciones, es decir:
                            - any, para cualquier dirección.

                                                                                                          519
   528   529   530   531   532   533   534   535   536   537   538