el 08-28-2020 01:49 AM
Buenos días, en esta ocasión tengo problemas con las Access-list, espero que puedan ayudarme.
En mi red tengo varias VLAN y las interfaces está configuradas con ACL de forma que se impida el tráfico desde las VLAN usadas por los alumos (80, 90, ......) hacia las VLAN 55 ADMINISTRACION, VLAN 10 SERVICIOS y la VLAN 20 DOCENTES, pero si quiero permitir el tráfico entre las VLANs 55, 10 y 20.
interface vlan 55
description Interfaz VLAN 55 ADMINISTRACION
ip address 10.55.0.1 255.255.255.224
ip access-group 155 in
no shutdown
interface vlan 10
description Interfaz VLAN 10 SERVICIOS
ip address 10.1.0.14 255.255.255.240
ip access-group 110 in
no shutdown
interface vlan 20
description Interfaz VLAN 20 DOCENTES
ip address 10.2.0.254 255.255.255.0
ip access-group 120 in
no shutdown
interface vlan 80
description Interfaz VLAN 80 AULA08
ip address 10.8.0.254 255.255.255.0
no shutdown
..............
El switch central de mi organizaciónes un Catalyst 3750E y he creado en él las siguientes listas de acceso:
Standard IP access list 10
10 permit 10.1.0.0, wildcard bits 0.0.0.15
20 permit 10.20.0.0, wildcard bits 0.0.0.255
30 permit 10.55.0.0, wildcard bits 0.0.0.31
Extended IP access list 110
10 permit ip 10.55.0.0 0.0.0.31 10.1.0.0 0.0.0.15
20 permit ip 10.2.0.0 0.0.0.255 10.1.0.0 0.0.0.15
30 deny ip 10.0.0.0 0.255.255.255 10.1.0.0 0.0.0.15
40 permit ip any any
Extended IP access list 120
10 permit ip 10.55.0.0 0.0.0.31 10.2.0.0 0.0.0.255
20 permit ip 10.1.0.0 0.0.0.15 10.2.0.0 0.0.0.255
30 deny ip 10.0.0.0 0.255.255.255 10.2.0.0 0.0.0.255
40 permit ip any any
Extended IP access list 155
10 permit ip 10.2.0.0 0.0.0.255 10.55.0.0 0.0.0.31
20 permit ip 10.1.0.0 0.0.0.15 10.55.0.0 0.0.0.31
30 deny ip 10.0.0.0 0.255.255.255 10.55.0.0 0.0.0.31 (28 matches)
40 permit ip any any
y la siguiente es la que crea el IOS por defecto:
Extended IP access list preauth_ipv4_acl (per-user)
10 permit udp any any eq domain
20 permit tcp any any eq domain
30 permit udp any eq bootps any
40 permit udp any any eq bootpc
50 permit udp any eq bootpc any
60 deny ip any any
He impedido las conexiones Telnet en general, pero he querido limitar las conexiones SSH sólo a las VLANs 10, 20 y 55 con la ACL estándar 10 y la siguiente configuración en las líneas VTY:
line vty 0 4
login local
logging synchronous
transport input ssh
access-class 10 in
El problema es que no consigo bloquear ningún tráfico, todas las VLANs se hacen ping sin problema y también puedo entrar por SSH desde cualquier VLAN.
Si pueden ayudarme se lo agradezco.
¡Resuelto! Ir a solución.
08-28-2020 05:52 AM - editado 08-28-2020 05:56 AM
Hola Carmen,
Un gusto saludarte, lo que sucede es que las ACL estan mal aplicadas, a esto me refiero al origen, cuando colocas la ACL en direccion IN en una interface logica, en este caso una SVI, estas diciendo que es el trafico que se origina es esa misma vlan. Entonces debe ser asi, como se muestra a continuacion.
Extended IP access list 110
10 permit ip 10.1.0.0 0.0.0.15 10.55.0.0 0.0.0.31
20 permit ip 10.1.0.0 0.0.0.15 10.2.0.0 0.0.0.255
30 deny ip 10.1.0.0 0.0.0.15 10.0.0.0 0.255.255.255
40 permit ip any any
Extended IP access list 120
10 permit ip 10.2.0.0 0.0.0.255 10.55.0.0 0.0.0.31
20 permit ip 10.2.0.0 0.0.0.255 10.1.0.0 0.0.0.15
30 deny ip 10.2.0.0 0.0.0.255 10.0.0.0 0.255.255.255
40 permit ip any any
Extended IP access list 155
10 permit ip 10.55.0.0 0.0.0.31 10.2.0.0 0.0.0.255
20 permit ip 10.55.0.0 0.0.0.31 10.1.0.0 0.0.0.15
30 deny ip 10.55.0.0 0.0.0.31 10.0.0.0 0.255.255.255 (28 matches)
40 permit ip any any
Ya a partir de esto puedes permitir el trafico que desee, pero siempre recuerda cuando es una interace logica como una SVI (Interface VLAN), el la direccion IN indica que el trafico se origina en la VLAN, si colocas OUT indica trafico externo a la VLAN.
Saludos.
08-28-2020 05:52 AM - editado 08-28-2020 05:56 AM
Hola Carmen,
Un gusto saludarte, lo que sucede es que las ACL estan mal aplicadas, a esto me refiero al origen, cuando colocas la ACL en direccion IN en una interface logica, en este caso una SVI, estas diciendo que es el trafico que se origina es esa misma vlan. Entonces debe ser asi, como se muestra a continuacion.
Extended IP access list 110
10 permit ip 10.1.0.0 0.0.0.15 10.55.0.0 0.0.0.31
20 permit ip 10.1.0.0 0.0.0.15 10.2.0.0 0.0.0.255
30 deny ip 10.1.0.0 0.0.0.15 10.0.0.0 0.255.255.255
40 permit ip any any
Extended IP access list 120
10 permit ip 10.2.0.0 0.0.0.255 10.55.0.0 0.0.0.31
20 permit ip 10.2.0.0 0.0.0.255 10.1.0.0 0.0.0.15
30 deny ip 10.2.0.0 0.0.0.255 10.0.0.0 0.255.255.255
40 permit ip any any
Extended IP access list 155
10 permit ip 10.55.0.0 0.0.0.31 10.2.0.0 0.0.0.255
20 permit ip 10.55.0.0 0.0.0.31 10.1.0.0 0.0.0.15
30 deny ip 10.55.0.0 0.0.0.31 10.0.0.0 0.255.255.255 (28 matches)
40 permit ip any any
Ya a partir de esto puedes permitir el trafico que desee, pero siempre recuerda cuando es una interace logica como una SVI (Interface VLAN), el la direccion IN indica que el trafico se origina en la VLAN, si colocas OUT indica trafico externo a la VLAN.
Saludos.
el 08-30-2020 12:26 PM
Buenas tardes Julio, muchas gracias por tu ayuda, ya lo tengo más claro.
Ahora tengo una duda, al crear las ACL se interrumpe el tráfico en los dos sentidos, pero yo solo quiero impedirlo en uno. Por ejemplo impedir el trafico de la red 10.8.0.0/24 a la red 10.1.0.0/28, permitiendo el tráfico de la red 10.1.0.0/28 a la red 10.8.0.0/24.
He intentado probarlo en Packet tracer pero no me deja usar el modificador established ¿Sería correcta esta ACL?
ip access-list extended 180
permit ip 10.8.0.0 0.0.0.255 10.1.0.0 0.0.0.15 established
deny ip 10.8.0.0 0.0.0.255 10.1.0.0 0.0.0.15
permit ip any any
interface vlan 80
description Interfaz VLAN 80 AULA08
ip address 10.8.0.254 255.255.255.0
ip access-group 180 in
no shutdown
08-31-2020 04:11 AM - editado 08-31-2020 04:13 AM
Hola Carmen,
Si te encuentras probando con ping, no podras, ya que ICMP es reciproco, esto quiere decir que si envias un ping debes tener respuesta. Ahora bien si no quieres que un lado genere ICMP puedes habilitar echo-reply para que solo responda peticiones ya establecidas.
Ahora bien, puedes bloquear puertos específicos en una dirección, ejemplo especificando un puerto TCP ejemplo, 22.
Toma en consideracion que packet tracer es algo limitado y algunos comandos muy probablemente no funcionaran.
Saludos.
el 09-03-2020 11:27 PM
Hola Julio, en el switch 3750 tampoco me deja usar established en la ACL:
permit ip 10.8.0.0 0.0.0.255 10.1.0.0 0.0.0.15 established
Me interesa impedir el tráfico solo en un sentido de la 10.8.0.0 a la 10.1.0.0., de forma que si desde la red 10.1.0.0 queremos acceder a un equipo de la 10.8.0.0 no haya problemas. Sería la siguiente ACL correcta para lo que quiero hacer?
ip access-list extended 180
deny ip 10.8.0.0 0.0.0.255 10.1.0.0 0.0.0.15
permit ip any any
interface vlan 80
description Interfaz VLAN 80 AULA08
ip address 10.8.0.254 255.255.255.0
ip access-group 180 in
no shutdown
el 09-07-2020 04:36 PM
Hola @Julio E. Moisa gracias por buscar asistir a @Carmen en este caso
Descubra y salve sus notas favoritas. Vuelva a encontrar las respuestas de los expertos, guías paso a paso, temas recientes y mucho más.
¿Es nuevo por aquí? Empiece con estos tips. Cómo usar la comunidad Guía para nuevos miembros
Navegue y encuentre contenido personalizado de la comunidad