Comparación entre ACL de IPv4 y de IPv6
Aunque las ACL IPv4 e IPv6 son muy similares, hay tres diferencias fundamentales entre ellas:
- La primera diferencia es el comando que se utiliza para aplicar una ACL de IPv6 a una interfaz. IPv4 utiliza el comando ip access-group para aplicar una ACL de IPv4 a una interfaz IPv4. IPv6 utiliza el comando ipv6 traffic-filter para realizar la misma función para las interfaces IPv6.
- A diferencia de las ACL de IPv4, las ACL de IPv6 no utilizan máscaras wildcard. En cambio, se utiliza la longitud de prefijo para indicar cuánto de una dirección IPv6 de origen o destino debe coincidir.
- La última diferencia principal tiene que ver con la inclusión de dos instrucciones permit implícitas al final de cada lista de acceso de IPv6. Al final de todas las ACL IPv4 estándar o extendidas, hay una instrucción deny any o deny ip any any implícita. En IPv6 se incluye una instrucción deny ipv6 any any similar al final de cada ACL de IPv6. La diferencia es que IPv6 también incluye dos otras instrucciones implícitas de forma predeterminada: permit icmp any any nd-na y permit icmp any any nd-ns.
Estas dos instrucciones permiten que el router participe en el equivalente de ARP para IPv4 en IPv6. Recuerde que ARP se utiliza en IPv4 para resolver las direcciones de capa 3 a direcciones MAC de capa 2. Como se muestra en la ilustración, en IPv6 se utilizan mensajes ICMP de descubrimiento de vecinos (ND) para lograr el mismo propósito. ND utiliza mensajes de solicitud de vecino (NS) y de anuncio de vecino (NA).
Los mensajes ND se encapsulan en paquetes IPv6 y requieren los servicios de la capa de red IPv6, mientras que ARP para IPv4 no utiliza la capa 3. Dado que IPv6 utiliza el servicio de la capa 3 para el descubrimiento de vecinos, las ACL de IPv6 deben permitir implícitamente que los paquetes ND se envíen y reciban por una interfaz. Específicamente, se permiten tanto los mensajes de descubrimiento de vecinos-anuncio de vecino (nd-na) como los de descubrimiento de vecinos-solicitud de vecino (nd-ns).