Solución de problemas de ACL IPv6. Ejemplo 1

Como sucede con ACL IPv4, los comandos show ipv6 access-list y show running-config sirven para ver los errores típicos de ACL IPv6.

En la figura 1, R1 está configurado con un ACL IPv6 para denegar el acceso FTP de la red :10 a la red :11. Sin embargo, después de configurar la ACL, la PC1 todavía puede conectarse al servidor FTP que se ejecuta en la PC2. Al consultar la salida del comando show ipv6 access-list en la figura 2, se muestran las coincidencias para la instrucción de permitir, pero no para las instrucciones de denegar.

Solución: Las ACE de la ACL no muestran problemas de orden ni de criterio en las reglas. El paso siguiente consiste en considerar cómo se aplica la ACL en la interfaz con el comando ipv6 traffic-filter. ¿La ACL se aplicó utilizando el nombre correcto, la interfaz correcta y la dirección correcta? Para comprobar si hay errores de configuración en la interfaz, consulte la configuración en ejecución, como se muestra en la figura 2.

La ACL se aplicó con el nombre correcto, pero con una dirección incorrecta. La dirección entrante o saliente se determina desde la perspectiva del router, lo que significa que, en este momento, la ACL se aplica al tráfico antes de que se lo reenvíe por la interfaz G0/0 e ingrese en la red :10. Para corregir este problema, elimine el comando ipv6 traffic-filter NO-FTP-TO-11 out y reemplácelo con el comando ipv6 traffic-filter NO-FTP-TO-11 in, como se muestra en la figura 3. Desde ahora, se denegarán los intentos de PC1 de acceder al servidor FTP, como se verificó con el comando show ipv6 access-list.