cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
958
Visitas
15
ÚTIL
5
Respuestas

Access-list extendidas no deniegan el tráfico en switch 3750

Carmen
Level 1
Level 1

Buenos días, en esta ocasión tengo problemas con las Access-list, espero que puedan ayudarme.

En mi red tengo varias VLAN y las interfaces está configuradas con ACL de forma que se impida el tráfico desde las VLAN usadas por los alumos (80, 90, ......) hacia las VLAN 55 ADMINISTRACION, VLAN 10 SERVICIOS y la VLAN 20 DOCENTES, pero si quiero permitir el tráfico entre las VLANs 55, 10 y 20.

 

interface vlan 55
 description Interfaz VLAN 55 ADMINISTRACION
 ip address 10.55.0.1 255.255.255.224
 ip access-group 155 in
 no shutdown

interface vlan 10
 description Interfaz VLAN 10 SERVICIOS
 ip address 10.1.0.14 255.255.255.240
 ip access-group 110 in
 no shutdown

interface vlan 20
 description Interfaz VLAN 20 DOCENTES
 ip address 10.2.0.254 255.255.255.0
 ip access-group 120 in
 no shutdown

 

interface vlan 80
 description Interfaz VLAN 80 AULA08
 ip address 10.8.0.254 255.255.255.0
 no shutdown
 ..............

 

El switch central de mi organizaciónes un Catalyst 3750E y he creado en él las siguientes listas de acceso:

Standard IP access list 10
 10 permit 10.1.0.0, wildcard bits 0.0.0.15
 20 permit 10.20.0.0, wildcard bits 0.0.0.255
 30 permit 10.55.0.0, wildcard bits 0.0.0.31


Extended IP access list 110
 10 permit ip 10.55.0.0 0.0.0.31 10.1.0.0 0.0.0.15
 20 permit ip 10.2.0.0 0.0.0.255 10.1.0.0 0.0.0.15
 30 deny ip 10.0.0.0 0.255.255.255 10.1.0.0 0.0.0.15
 40 permit ip any any

 

Extended IP access list 120
 10 permit ip 10.55.0.0 0.0.0.31 10.2.0.0 0.0.0.255
 20 permit ip 10.1.0.0 0.0.0.15 10.2.0.0 0.0.0.255
 30 deny ip 10.0.0.0 0.255.255.255 10.2.0.0 0.0.0.255
 40 permit ip any any 


Extended IP access list 155
 10 permit ip 10.2.0.0 0.0.0.255 10.55.0.0 0.0.0.31
 20 permit ip 10.1.0.0 0.0.0.15 10.55.0.0 0.0.0.31
 30 deny ip 10.0.0.0 0.255.255.255 10.55.0.0 0.0.0.31 (28 matches)
 40 permit ip any any

 

y la siguiente es la que crea el IOS por defecto:
Extended IP access list preauth_ipv4_acl (per-user)
 10 permit udp any any eq domain
 20 permit tcp any any eq domain
 30 permit udp any eq bootps any
 40 permit udp any any eq bootpc
 50 permit udp any eq bootpc any
 60 deny ip any any

 

He impedido las conexiones Telnet en general, pero he querido limitar las conexiones SSH sólo a las VLANs 10, 20 y 55 con la ACL estándar 10 y la siguiente configuración en las líneas VTY:

 

line vty 0 4
 login local
 logging synchronous
 transport input ssh
 access-class 10 in

El problema es que no consigo bloquear ningún tráfico, todas las VLANs se hacen ping sin problema y también puedo entrar por SSH desde cualquier VLAN.

 

Si pueden ayudarme se lo agradezco.

1 SOLUCIÓN ACEPTADA

Soluciones aceptadas

Hola Carmen,

Un gusto saludarte, lo que sucede es que las ACL estan mal aplicadas, a esto me refiero al origen, cuando colocas la ACL en direccion IN en una interface logica, en este caso una SVI, estas diciendo que es el trafico que se origina es esa misma vlan. Entonces debe ser asi, como se muestra a continuacion.

 

Extended IP access list 110
10 permit ip 10.1.0.0 0.0.0.15 10.55.0.0 0.0.0.31
20 permit ip 10.1.0.0 0.0.0.15 10.2.0.0 0.0.0.255
30 deny ip 10.1.0.0 0.0.0.15 10.0.0.0 0.255.255.255
40 permit ip any any

 

Extended IP access list 120
10 permit ip 10.2.0.0 0.0.0.255 10.55.0.0 0.0.0.31
20 permit ip 10.2.0.0 0.0.0.255 10.1.0.0 0.0.0.15
30 deny ip 10.2.0.0 0.0.0.255 10.0.0.0 0.255.255.255
40 permit ip any any


Extended IP access list 155
10 permit ip 10.55.0.0 0.0.0.31 10.2.0.0 0.0.0.255
20 permit ip 10.55.0.0 0.0.0.31 10.1.0.0 0.0.0.15
30 deny ip 10.55.0.0 0.0.0.31 10.0.0.0 0.255.255.255 (28 matches)
40 permit ip any any

 

Ya a partir de esto puedes permitir el trafico que desee, pero siempre recuerda cuando es una interace logica como una SVI (Interface VLAN), el la direccion IN indica que el trafico se origina en la VLAN, si colocas OUT indica trafico externo a la VLAN. 

 

Saludos. 




>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Ver la solución en mensaje original publicado

5 RESPUESTAS 5

Hola Carmen,

Un gusto saludarte, lo que sucede es que las ACL estan mal aplicadas, a esto me refiero al origen, cuando colocas la ACL en direccion IN en una interface logica, en este caso una SVI, estas diciendo que es el trafico que se origina es esa misma vlan. Entonces debe ser asi, como se muestra a continuacion.

 

Extended IP access list 110
10 permit ip 10.1.0.0 0.0.0.15 10.55.0.0 0.0.0.31
20 permit ip 10.1.0.0 0.0.0.15 10.2.0.0 0.0.0.255
30 deny ip 10.1.0.0 0.0.0.15 10.0.0.0 0.255.255.255
40 permit ip any any

 

Extended IP access list 120
10 permit ip 10.2.0.0 0.0.0.255 10.55.0.0 0.0.0.31
20 permit ip 10.2.0.0 0.0.0.255 10.1.0.0 0.0.0.15
30 deny ip 10.2.0.0 0.0.0.255 10.0.0.0 0.255.255.255
40 permit ip any any


Extended IP access list 155
10 permit ip 10.55.0.0 0.0.0.31 10.2.0.0 0.0.0.255
20 permit ip 10.55.0.0 0.0.0.31 10.1.0.0 0.0.0.15
30 deny ip 10.55.0.0 0.0.0.31 10.0.0.0 0.255.255.255 (28 matches)
40 permit ip any any

 

Ya a partir de esto puedes permitir el trafico que desee, pero siempre recuerda cuando es una interace logica como una SVI (Interface VLAN), el la direccion IN indica que el trafico se origina en la VLAN, si colocas OUT indica trafico externo a la VLAN. 

 

Saludos. 




>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Buenas tardes Julio, muchas gracias por tu ayuda, ya lo tengo más claro.

Ahora tengo una duda, al crear las ACL se interrumpe el tráfico en los dos sentidos, pero yo solo quiero impedirlo en uno. Por ejemplo impedir el trafico de la red 10.8.0.0/24 a la red 10.1.0.0/28, permitiendo el tráfico de la red 10.1.0.0/28 a la red 10.8.0.0/24.

He intentado probarlo en Packet tracer pero no me deja usar el modificador established ¿Sería correcta esta ACL?

 

ip access-list extended 180

  permit ip 10.8.0.0 0.0.0.255 10.1.0.0 0.0.0.15 established
  deny ip 10.8.0.0 0.0.0.255 10.1.0.0 0.0.0.15
  permit ip any any

 

 

interface vlan 80
 description Interfaz VLAN 80 AULA08
 ip address 10.8.0.254 255.255.255.0

 ip access-group 180 in
 no shutdown

Hola Carmen,

Si te encuentras probando con ping, no podras, ya que ICMP es reciproco, esto quiere decir que si envias un ping debes tener respuesta. Ahora bien si no quieres que un lado genere ICMP puedes habilitar echo-reply para que solo responda peticiones ya establecidas. 

 

Ahora bien, puedes bloquear puertos específicos en una dirección, ejemplo especificando un puerto TCP ejemplo, 22. 

 

Toma en consideracion que packet tracer es algo limitado y algunos comandos muy probablemente no funcionaran. 

 

Saludos. 




>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Hola Julio, en el switch 3750 tampoco me deja usar established en la ACL:  

permit ip 10.8.0.0 0.0.0.255 10.1.0.0 0.0.0.15 established

Me interesa impedir el tráfico solo en un sentido de la 10.8.0.0 a la 10.1.0.0., de forma que si desde la red 10.1.0.0 queremos acceder a un equipo de la 10.8.0.0 no haya problemas. Sería la siguiente ACL correcta para lo que quiero hacer? 

ip access-list extended 180

  deny ip 10.8.0.0 0.0.0.255 10.1.0.0 0.0.0.15
  permit ip any any

 

 

interface vlan 80
 description Interfaz VLAN 80 AULA08
 ip address 10.8.0.254 255.255.255.0

 ip access-group 180 in
 no shutdown

Hilda Arteaga
Cisco Employee
Cisco Employee

Hola @Julio E. Moisa gracias por buscar asistir a @Carmen en este caso