Solucionado: Re: Hola, tengo una pregunta sobre vlan

Antonio-1005 · ‎07-21-2021

Hola, alguien pudiera ayudarme, tengo esta duda, tengo varias vlan 10,20,30 y quiero que la vlan 30 no pueda acceder a las vlan 10 y 20, pero si quiero que las vlan 10 y 20 si accedan a la 30. ya lo intente con acl pero me funciona solo para denegar a la vlan 10 de las otras, pero cuando quiero acceder a ella no me lo permite. alguien sabe como puedo realizar este proceso?

luis_cordova · ‎07-22-2021

Hola @Antonio-1005

En PT se puede lograr lo que indicas pero solo en el caso de ping.

Esto es permitiendo el echo-reply desde VL30 a Vl10 y VL20 antes de las denegación entre estas vlan.

De esta forma, los ping originados desde VL30 son denegados, pero no las respuestas de ping.

Saludos

access-list 110 permit icmp 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255 echo-reply

access-list 110 permit icmp 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255 echo-reply

access-list 110 deny ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255

access-list 110 deny ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255

access-list 110 permit ip any any

Ver la solución en mensaje original publicado

Julio E. Moisa · ‎07-21-2021

Hola

Existen 2 formas para poder aplicar bloque inter vlan:

-VLAN ACL (VACL)

- ACL en las SVI

Tu switch debe ser multicapa y para la primera opcion debe ser un switch de alta capacidad. Para la segunda opcion ten en consideracion lo siguiente

Cuando aplicas las ACL las direcciones tienen otra interpretacion, ejemplo

Interface vlan 30

ip address 192.168.30.1 255.255.255.0

ip access-group 100 in <---- el in indica que estas bloqueando o permitiendo trafico orignado desde la misma VLAN ejemplo:

access-list 100 deny tcp host 192.168.30.55 host 8.8.8.8 eq 80

access-list 100 permit ip 192.168.30.0 0.0.0.255 any

Miralo como

192.168.30.0/24 ---> entrando a la Interface VLAN 30 ---------> EXTERIOR

Cuando la direccion es OUT es lo contrario esta permitiendo o bloqueando trafico externo que quiere ingresar a tu red de la VLAN no de lo estas aplicando.

Una tercera forma pero debes de probarlo es aplicando ACL en los puertos switchport (donde esta el switchport access vlan X)

Soporta una sola direccion la cual si no mal recuerdo es IN.

Saludos

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Antonio-1005 · ‎07-22-2021

Hola! Gracias por tu respuesta, pero aun quede con dudas, porque intente y nada, ejemplo la vlan 10 no puede acceder a la vlan 20, pero la 20 si debe acceder a la 10, coloque el simulador para fijarme que sucedia y bueno el paquete llega pero al regreso por el acl no lo deja llegar.

Hilda Arteaga · ‎07-22-2021

hola @Julio E. Moisa

Muchas gracias por la asietencia y el apoyo a @Antonio-1005

luis_cordova · ‎07-22-2021

Hola @Antonio-1005

En PT se puede lograr lo que indicas pero solo en el caso de ping.

Esto es permitiendo el echo-reply desde VL30 a Vl10 y VL20 antes de las denegación entre estas vlan.

De esta forma, los ping originados desde VL30 son denegados, pero no las respuestas de ping.

Saludos

access-list 110 permit icmp 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255 echo-reply

access-list 110 permit icmp 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255 echo-reply

access-list 110 deny ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255

access-list 110 deny ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255

access-list 110 permit ip any any