Page 535 - Untitled
P. 535

CAPÍTULO 11: IP VERSIÓN 6

                    ACL IPV6 EXTENDIDA


                       En IPv6, la cabecera de un paquete contiene numerosos campos inexistentes en
                    IPv4.  Ello  da  como  resultado  que  las  ACLs  extendidas  dispongan  de  multitud  de
                    opciones, lo cual permite una definición más exacta del filtrado, pero a su vez implica
                    mayor complejidad en cuanto a configuración se refiere. Algunas de dichas opciones
                    comprenden los puertos de origen y/o destino, protocolo, campo dscp, flow-label,
                    secuencia,  tipos  de  mensaje  icmp,  rango  de  tiempo  o  fragmentos,  entre  muchos
                    otros. Sin embargo, para afrontar la certificación CCNA bastará con llevar a cabo el
                    filtrado en base al protocolo, puerto y direcciones de origen y destino, asemejándose
                    en gran medida a las ACL IPv4 ya analizadas. En este caso, el comando necesario para
                    definir una sentencia es [permit | deny] [protocolo] [origen] [puerto o protocolo de
                            [

                    origen] destino]] [puerto o protocolo de destino], donde:

                    - [permit | deny] indica la acción a ejecutar ante paquetes que cumplan todas las
                    condiciones definidas en la sentencia.

                    - [protocolo] identifica el protocolo sobre el cual se llevará a cabo la acción, pudiendo
                    ser ipv6, udp, tcp o icmp, entre otros.


                    - [origen] hace referencia al origen de la comunicación, permitiendo definir 3 valores:
                            - any, para cualquier dirección de origen.
                            - host [ip/prefijo], para un dispositivo en concreto.
                            - [red/prefijo], cuando el origen representa una red o conjunto de hosts.

                    - [puerto o protocolo de origen] especifica el número de puerto de origen o nombre
                    del servicio asociado al mismo, permitiendo los siguientes parámetros:

                            - eq [número de puerto o nombre], para un puerto igual al indicado.
                            - gt [número de puerto], para números de puerto igual o mayor al definido.
                            -  lt  [número  de  puerto],  filtra  los  puertos  con  un  valor  igual  o  menor  al

                            indicado.
                            - range [rango de puertos], establece un rango de puertos.


                    - [destino], hace referencia al destino de la comunicación, permitiendo las mismas
                    opciones que para el origen, es decir:
                            - any, para cualquier dirección.
                            - host [ip/prefijo], para un dispositivo en concreto.
                            - [red/prefijo], cuando se requiere identificar una red o conjunto de hosts.


                    - [puerto o protocolo de destino] especifica el número de puerto de destino o nombre
                    del servicio asociado al mismo, permitiendo los mismos parámetros que en el origen:

                                                                                                          521
   530   531   532   533   534   535   536   537   538   539   540