Comprar o Renovar
Comprar o Renovar
cancelar
Activar sugerencias
La sugerencia automática le ayuda a obtener, de forma rápida, resultados precisos de su búsqueda al sugerirle posibles coincidencias mientras escribe.
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
Iniciar una conversación
1862
Visitas
0
ÚTIL
5
Respuestas

Acl extendida no deniega trafico

ssit.fino
Level 1
Level 1

‎07-07-2018 12:14 PM - editado ‎03-21-2019 06:35 PM

Buenos días amigos , al configurar mi acl extendida de la siguiente manera

 

access-list 100 deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255

#access-list 100 permit ip any any

 

necesito que me denigue el trafico a dicha red pero me lo permite porque?.. 

 

gracias 

0 Útil
5 RESPUESTAS 5

Diana Karolina Rojas
Cisco Employee
Cisco Employee

el ‎07-07-2018 01:43 PM

Estimado buenas tardes,

 

Esto en parte puede deberse a que la ACL esta aplicada en la dirección o en la interfaz incorrecta, ¿donde la estas aplicando? indícame como es el camino del trafico entre esas dos redes y cuales son los equipos involucrados para ver donde puede estar el error, si deseas adjuntar la configuración sin la información sensible (contraseñas y direcciones IP públicas) y un pequeño diagrama ayudaría mucho más.

Por favor no olvides calificar las respuestas útiles, tu calificación promueve nuestra participación.

 

Saludos,

0 Útil

Julio E. Moisa
VIP Alumni
VIP Alumni

‎07-08-2018 05:15 AM - editado ‎07-08-2018 05:20 AM

Hola

La ACL parece estar bien, puede ser que te falte aplicarla en alguna interface, si la estas aplicando en un router, solo falta conocer donde esta esa red 192.168.20./24, si es tu LAN y esta creada en tu router o es una red externa a tu router. 

 

access-list 100 deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255

access-list 100 permit ip any any

 

192.168.20.0/24 ---- Fa0/1 ROUTER Fa0/0 ----- 192.168.10.0/24

 

interface fa0/0

ip access-group 100 out

 

* Cualquier solicitud de salida y originada desde la red 192.168.20.0/24 hacia la red 192.168.10.0/24 por cualquier puerto (ip) sera denegado, todo lo demas permitido por el ip any any.  

 

192.168.10.0/24 ---- Fa0/1 ROUTER Fa0/0 ----- 192.168.20.0/24

 

interface fa0/0

ip access-group 100 in

 

* Cualquier solicitud de ingreso y originada desde la red 192.168.20.0/24 hacia la red 192.168.10.0/24 por cualquier puerto (ip) sera denegado, todo lo demás permitido por el ip any any.  

 

Sintanxis basica de una ACL extendida:

 

access-list <numero de ACL> <permit/deny> <tipo de protocolo> <red/host de origen> <puerto de origen> <red/host de destino> <puerto de destino>

 

Como mencione previamente, la clave es conocer en que dirección van la comunicación y donde sera aplicada la ACL.

 

Espero te sea util

:-)




>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<
0 Útil

ssit.fino
Level 1
Level 1
En respuesta a Julio E. Moisa

el ‎07-08-2018 10:57 PM

Gracias e comprendido ya hasta el momento lo relacionado con las  acl ,mas me surgió una duda, las lista de acceso va trabajando en el orden que se van aplicando ? o solamente toma el valor de la primera linea/ coincidencia? a eso me refiero a que si por ejemplo

 

access-list 100 permit tcp 192.168.10.0 0.0.0.255 host 192.168.30.0 eq 80

access-list 100 permite imcp any any

access-list deny tcp 192.168.10.0 0.0.0.255 any eq80

 

en el primer indico que permito todo el trafico de la red 192.168.10.0 a la red 192.168.30.0 , y acceso a paginas web mediante el puerto 80, y permite realizar  de cualquier origen a cualquier destino ,ping "imcp" y el 3 la tercera deniego todo el trafico , y en la ultima linea estoy bloqueando todo el trafico tcp que valla desde la misma red a cualquier destino 80... 

 

en pocas palabras va tomando las lineas de manera ordena? gracias.

0 Útil

Julio E. Moisa
VIP Alumni
VIP Alumni
En respuesta a ssit.fino

‎07-09-2018 04:50 AM - editado ‎07-09-2018 05:05 AM

Hola,

Las ACL se leen de arriba hacia abajo, incluso existe un deny implicito al final. Con respecto a tu pregunta, es correcto, en pocas palabras lo que has aplicado es que tu red 192.168.10.0/24 tendra acceso a la IP 192.168.30.0 con el puerto 80 como destino, luego has habilitado el ping desde cualquier origen a cualquier destino y por ultimo denegar cualquier solicitud de acceso a cualquier destino con puerto 80 como destino.

 

Por cierto has utilizado la palabra host, esto significa que es una unica IP es como colocar 192.168.30.0 0.0.0.0. En tu enunciado colocaste: en el primer indico que permito todo el trafico de la red 192.168.10.0 a la red 192.168.30.0, eso no aplica porque la palabra host limita a una mascara /32 lo cual significa una unica direccion IP entonces:

 

host 192.168.30.0 = 192.168.30.0 0.0.0.0 , puede ser que el valor sea una IP 192.168.30.0 unicamente si la red principal fuese una sumarizada que incluya esa direccion IP en el rango. 

 

Espero te sea util

:-)

 




>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<
0 Útil

luis_cordova
VIP Alumni
VIP Alumni
En respuesta a ssit.fino

el ‎07-24-2018 01:46 PM

Hola,

Según la interfaz y la aplicación que le hayas dado(in/out), la ACL comprobará si el paquete entrante/saliente coincide con la primera linea de tu lista.

Si coincide, hará lo que le indicaste que haga(permit/deny) y parará la búsqueda de coincidencia.

Si no coincide, buscará coincidencia con la siguiente linea hasta encontrar alguna.

Si no encuentra ninguna coincidencia, se aplicará la denegación implícita bajo toda ACL.

Espero haberte ayudado.

Saludos

0 Útil

Navegue y encuentre contenido personalizado de la comunidad

Documentos General Discusiones General Videos General
Customers Also Viewed These Support Documents