Solucionado: Bloqueo con ACL

Franco Anorga · ‎09-07-2018

buenos días,

necesito una orientación para armar el diseño de las ACL en mi red.

tengo la siguiente estructura: vlan 100 servidores, vlan 120 administración, vlan 130 ventas, vlan 150 voip, etc.

todo configurado en un 3750 con ip routing, quiero que todas las vlan vean vlan 100 y 150 pero entre si las demás no se vean.

me pueden dar algún ejemplo de una? las acl las aplico sobre las interfaces de la vlan? porque uso un solo puerto del 3750, después son todos 2960.

gracias...

saludos...

luis_cordova · ‎09-07-2018

Hola Franco,

Para eso, puedes ocupar una ACL extendida como la mostrada:

interface Vlan100

ip address <ip> <mascara>

ip access-group 100 out

access-list 100 permit <protocolo> any <red de la VL100> <wildcard de la VL100> eq <puerto del servicio>

Con esta ACL permites solo el acceso a los servicios relacionados al puerto indicado, cayendo el resto del trafico en la denegación implícita al final de la ACL.

Debes averiguar el protocolo del servicio(UDP/TCP) y el numero de puerto asociado.

Te dejo este link con los números de puertos y los servicios asociados

https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml

Espero que te sirva.

Saludos

Ver la solución en mensaje original publicado

luis_cordova · ‎09-07-2018

Hola Franco,

Hice una simulación y esta configuración me funcionó:

interface Vlan120

ip address <ip> <mascara>

ip access-group 120 in

!

interface Vlan130

ip address <ip> <mascara>

ip access-group 130 in

access-list 120 deny ip <red de la VL120> <wildcard de la VL120> <red de la VL130> <wildcard de la VL130>

access-list 120 permit ip any any

access-list 130 deny ip <red de la VL130> <wildcard de la VL130> <red de la VL120> <wildcard de la VL120>

access-list 130 permit ip any any

Espero que sea lo que buscas.

Saludos

Franco Anorga · ‎09-07-2018

Hola Luis,

si, es la solución que tenia en mente...

Intente con otra solución para ahorrar lineas pero me bloquea el trafico que a Internet también:

access-list 101 permit ip any <red de la VL100> <wildcard de la VL100>

access-list 101 permit ip any <red de la VL150> <wildcard de la VL150>

access-list 101 deny ip any any

interface Vlan120

ip address <ip> <mascara>

ip access-group 101 in

.....

con esto creaba una sola regla y la aplicaba a todas las vlan pero no me queda otra opción como la solución que me pasas vos.

por otro lado, un poquito más complejo, si a las vlan solo quiero darle acceso a los servicios de AD, DNS, DHCP, SQL,Carpetas Compartidas, de la red de servidores, tenes un ejemplo para esto?

muchas gracias....

saludos...

luis_cordova · ‎09-07-2018

Hola Franco,

Para eso, puedes ocupar una ACL extendida como la mostrada:

interface Vlan100

ip address <ip> <mascara>

ip access-group 100 out

access-list 100 permit <protocolo> any <red de la VL100> <wildcard de la VL100> eq <puerto del servicio>

Con esta ACL permites solo el acceso a los servicios relacionados al puerto indicado, cayendo el resto del trafico en la denegación implícita al final de la ACL.

Debes averiguar el protocolo del servicio(UDP/TCP) y el numero de puerto asociado.

Te dejo este link con los números de puertos y los servicios asociados

https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml

Espero que te sirva.

Saludos

Franco Anorga · ‎09-07-2018

muchas gracias por la ayuda Luis....

saludos..

luis_cordova · ‎09-07-2018

De nada Franco,

Para eso estamos aquí :)

Saludos

Julio E. Moisa · ‎09-07-2018

Hola

Cuando aplicas ACLs bajo las Interface VLAN, se trabaja diferente que con las interfaces fisicas, por ejemplo tengo 2 VLANs

VLAN 10 - Usuarios - 192.168.10.0/24

VLAN 50 - Servidores - 192.168.50.0/24

Si yo no quiero que ningun trafico se genere desde la VLAN 10 hacia la VLAN 50 tu pues aplicar:

access-list 100 deny ip 192.168.10.0 0.0.0.255 192.168.50.0 0.0.0.255

access-list 100 permit ip any any <--- permito cualquier otro acceso.

interface vlan 10

ip access-group 100 in

Por lo general cuado es interface fisica y el trafico es de salida, se aplica la direccion out, pero en bajo Interface VLAN es diferente.

Si lo que quieres hacer es desde otra VLAN diferente a la VLAN 10, digamos que la VLAN 10 no deberia permitir acceso desde la VLAN 50, entonces la direccion es out

access-list 101 deny ip 192.168.50.0 0.0.0.255 192.168.10.0 0.0.0.255

access-list 101 permit ip any any

interface vlan 10

ip access-group 101 out

Saludos

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Franco Anorga · ‎09-07-2018

Hola Julio,

gracias por tu tiempo.... más leo y miro ejemplo, más confundido estoy con IN y OUT.

que es lo mas conveniente o lo más usual; bloquear trafico de salida de una vlan a otra o la entrada de una vlan?

la idea es que las vlan no se vean entre si, solo acceso a la de servidores pero a los servicios específicos.

gracias....saludos...

Julio E. Moisa · ‎09-07-2018

Hola,

Seria mejor utilizar un OUT, para que solo permitas lo que deseas que se pueda comunicar contigo. Ejemplo:

VLAN 10 - LAN1 - 192.168.10.0/24

VLAN 20 - LAN2 - 192.168.20.0/24

VLAN 50 - SERVIDORES - 192.168.50.0/24

si solo quieres que la red de servidores se comunique con la VLAN 10, entonces:

LAN2 LAN1

access-list 100 deny ip 192.168.20.0 0.0.0.255 any (o puedes colocar la red de LAN1 en lugar de any)

access-list 100 permit ip any any

interface vlan 10

ip address 192.168.10.1 255.255.255.0

ip access-group 100 out

El funcionamiento no es igual como en las interfaces fisicas, donde OUT es todo lo que va hacia afuera e IN todo lo que ingresa por esa interface, por eso la confusion, ya que las interface vlan son interfaces logicas. No cuentan con una direccion de ingreso o de salida explicita.

Slaudos

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Franco Anorga · ‎09-08-2018

Hola Julio,

cuando aplicas estos dos casos:

access-list 100 deny ip 192.168.10.0 0.0.0.255 192.168.50.0 0.0.0.255 ---> in

access-list 101 deny ip 192.168.50.0 0.0.0.255 192.168.10.0 0.0.0.255 --->out

hay alguna diferencia técnica por cual se deba aplicar uno o otra? por lo que entiendo yo hacen lo mismo, deniego de la vlan 10 a la 50 o de la vlan 50 a la 10.

cuando deniego una vlan hacia otra, implícitamente me deniega al revés también?

gracias.

saludos...

Julio E. Moisa · ‎09-08-2018

Hola Franco,

Si tienes estas ACLs y las aplicas a una SVI

Access-list 100 deny ip 192.168.10.0 0.0.0.255 192.168.50.0 0.0.0.255 ---> in

Interpretación: Denegar trafico originado desde la red 192.168.10.0/24 hacia la red 192.168.50.0/24 por cualquier puerto. Si utilizas IN, quiere decir que la red 192.168.10.0/24 esta asociada a la Interface VLAN a donde estas aplicando la ACL. Basicamente el IN te indica que la red de origen es la misma red asociada a la interface VLAN.

access-list 101 deny ip 192.168.50.0 0.0.0.255 192.168.10.0 0.0.0.255 --->out

Interpretación: Denegar trafico originado desde la red 192.168.50.0/24 hacia la red 192.168.10.0/24 por cualquier puerto. Si utilizas OUT, quiere decir que la red 192.168.50.0/24 no esta asociada a la Interface VLAN a donde estas aplicando la ACL y que el trafico es originado por una red externa y esta ingresando a la interface VLAN.

OUT IN

192.168.50.0/24 ------> SVI 10 <------ 192.168.10.0/24

192.168.10.1

Te comparto los siguientes links que pueden ser de utilidad:

https://community.cisco.com/t5/switching/acl-direction-when-applied-to-a-vlan-on-a-switch/td-p/1423652

En este link, puedes verificar los ejemplos 2 y 3.

https://danielkuchenski.wordpress.com/2012/12/04/applying-an-acl-on-a-l3-vlan-svi/

En resumen cuando aplicas una ACL a una interface VLAN (SVI):

IN = filtra trafico originado desde la red asociada a la interface VLAN.

OUT = filtra trafico hacia la red asociada a la interface VLAN.

Saludos

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Franco Anorga · ‎09-08-2018

Muchas gracias Julio...

sigo con los enlaces que me pasaste..

saludos..

Julio E. Moisa · ‎09-08-2018

Para servirte Franco,

Saludos

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Franco Anorga · ‎09-28-2018

Julio,

Después de leer todo pase a la practica y no me funciona...

Desde mi planteo inicial... vlan100 servidores, vlan120 adm, vlan150 voip, etc... todas acceden a la vlan de los servidores pero no se ven entre ellas..

realice lo siguiente:

access-list 101 permit ip any 172.20.16.0 0.0.0.127 --> acceso a la red de servidores (DHCP, DNS,AD,ETC)
access-list 101 permit ip any 172.20.14.128 0.0.0.127 --> acceso a la red de voip
access-list 101 permit tcp any any eq www --> salida a internet
access-list 101 permit tcp any any eq 443 --> salida a internet
access-list 101 permit tcp any any eq smtp
access-list 101 permit tcp any any eq pop3

int vlan 120

ip access-group 101 in

resultado: directamente no me levanta ip desde el dhcp :(

que estoy haciendo mal? el tema de retorno, yo permito acceder a la red 172.20.16.0 pero en la vlan100 tengo que poner que permito acceder a la vlan120? el any en origen en este caso que use in reemplazaría a la red de las vlan120?

gracias...

saludos.