Solución de problemas de ACL IPv6. Ejemplo 2
En la figura, R3 está configurado con una ACL IPv6 llamada RESTRICTED-ACCESS que debe aplicar la siguiente política a la LAN de R3:
- Permitir acceso a la red :10
- Denegar acceso a la red :11
- Permitir acceso SSH a la PC en 2001:DB8:CAFE:11::11
Sin embargo, después de configurar la ACL, la PC3 no puede llegar a la red 10 o la red 11, y no puede utilizar SSH en el host en 2001:DB8:CAFE:11::11.
Solución: En esta situación, el problema no se debe a cómo se aplicó la ACL. En la interfaz, la ACL no está mal escrita, y la dirección y la ubicación son correctas, como se muestra en la figura 2. Al analizar en detalle la ACL IPv6, se puede notar que el problema está en el orden y los criterios de las reglas de ACE. La primera declaración de permiso debería permitir el acceso a la red :10. Sin embargo, el administrador configuró una instrucción de host y no especificó un prefijo. En este caso, se otorga acceso únicamente a 2001:DB8:CAFE:10:: se permite el host.
Para corregir este problema, elimine el argumento de host y cambie el prefijo /64 a. Puede hacer esto sin eliminar la ACL reemplazando la ACE con el número de secuencia 10, como se muestra en la figura 3.
El segundo error en la ACL es el orden de las dos siguientes afirmaciones. La política especifica que los hosts en la LAN del R3 deben poder utilizar SSH en el host 2001:DB8:CAFE:11::11. Sin embargo, la declaración deny para la red :11 se encuentra antes de la declaración permit. Por lo tanto, todos los intentos para acceder al: se deniega la red 11 antes de que la instrucción que permite el acceso de SSH puede evaluarse. Una vez que se establece una coincidencia, no se analizan otras instrucciones. Para corregir este problema, deberá eliminar las instrucciones e ingresarlas en el orden correcto, como se muestra en la figura 4.