cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
562
Visitas
0
ÚTIL
5
Respuestas

La lista de ACL del switch Catalyst 2960 en el puerto no funciona correctamente

Translator
Community Manager
Community Manager

Mi propósito y por lo tanto la configuración son muy simples, pero de alguna manera no funciona.

Propósito: crear ACL en 2960 para denegar todo el tráfico proveniente de 192.168.2.60 a 192.168.1.50 a través del puerto GigabitEthernet1/0/10. Permite todos los demás tipos de tráfico.

Lista de acceso 105 Denegar host IP 192.168.2.60 Host 192.168.1.50
lista de acceso 105 permitir IP cualquiera

interfaz GigabitEthernet1/0/10
switchport access vlan 6 < el puerto GigabitEthernet1/0/10 pertenece a vlan 6
grupo de acceso IP 105 en

Resultado: El tráfico procedente de 192.168.2.60 aún puede llegar a 192.168.1.50 a través del puerto GigabitEthernet1/0/10. ¿Por qué???

2 SOLUCIONES ACEPTADAS

Soluciones aceptadas

Translator
Community Manager
Community Manager

Kelvin

Eso es extraño, ciertamente, la configuración en sí parece estar completamente bien.

Perdóneme si esta pregunta parece estúpida, pero ¿está el 192.168.2.60 realmente conectado con Gi1/0/10? Me pregunto si Gi1/0/10 está quizás conectado a 192.168.1.50 en su lugar porque en ese caso, la ACL sería ineficaz (ya que el tráfico entrante en Gi1/0/10 en ese caso tendría las direcciones IP de origen y destino intercambiadas).

¿Se trata de un conmutador de producción o de una configuración de laboratorio? ¿Cuál es la versión exacta de IOS que se ejecuta en él?

Saludos
Pedro

Ver la solución en mensaje original publicado

Hola Kelvin,

Tenga en cuenta que la LCA que colocó en Gi1/0/10 está mirando el tráfico en la dirección de entrada, desde el punto de vista del propio puerto. El tráfico que entra en Gi1/0/10 se origina por el dispositivo conectado a Gi1/0/10, que es 192.168.1.50. Si desea bloquear la conversación entre 192.168.1.50 y 192.168.2.60, debe hacer coincidir las direcciones IP de origen y destino de esta conversación, ya que aparecen en la dirección de entrada en Gi1/0/10: la IP de origen es 192.168.1.50, la IP de destino es 192.168.2.60.

Su ACL original funcionaría si la aplicara en la dirección saliente. Sin embargo, para los switchports en los switches Catalyst, las ACL solo se pueden aplicar en la dirección de entrada; No se admiten las ACL salientes en switchports.

¿Explicaría esto el comportamiento? Por favor, siéntase bienvenido a preguntar más!

Saludos
Pedro

Ver la solución en mensaje original publicado

5 RESPUESTAS 5

Translator
Community Manager
Community Manager

Kelvin

Eso es extraño, ciertamente, la configuración en sí parece estar completamente bien.

Perdóneme si esta pregunta parece estúpida, pero ¿está el 192.168.2.60 realmente conectado con Gi1/0/10? Me pregunto si Gi1/0/10 está quizás conectado a 192.168.1.50 en su lugar porque en ese caso, la ACL sería ineficaz (ya que el tráfico entrante en Gi1/0/10 en ese caso tendría las direcciones IP de origen y destino intercambiadas).

¿Se trata de un conmutador de producción o de una configuración de laboratorio? ¿Cuál es la versión exacta de IOS que se ejecuta en él?

Saludos
Pedro

Hola Pedro,

Gracias por sus consejos. ¡Tu pregunta realmente ayudó a resolver las cosas!

Aquí está la conexión física:

192.168.1.50 conectado directamente a Cisco 2960 GigabitEthernet1/0/10 --> Cisco Core Switch 3850 -->192.168.2.60

Mi propósito y configuración:

Cree ACL en 2960 para denegar todo el tráfico proveniente de 192.168.2.60 a 192.168.1.50 a través del puerto GigabitEthernet1/0/10. Permite todos los demás tipos de tráfico.

Lista de acceso 105 Denegar host IP 192.168.2.60 Host 192.168.1.50
lista de acceso 105 permitir IP cualquiera

Resultado previsto:

Pensé que era correcto usar la lista de acceso 105 denegar host ip < IP de origen que es 192.168.2.60> host <DESTINO IP 192.168.1.50>. ¿No fue así? El dispositivo remoto 192.168.2.60 se considera dispositivo de origen/IP, y el dispositivo conectado directamente 192.168.1.50 es dispositivo de destino/IP.

Nueva configuración:

Lista de acceso 105 Denegar host IP 192.168.2.60 Host 192.168.1.50

Lista de acceso 105 Denegar host IP 192.168.1.50 Host 192.168.2.60
lista de acceso 105 permitir IP cualquiera

Resultado: El tráfico procedente de 192.168.2.60 no puede llegar a 192.168.1.50 a través del puerto GigabitEthernet1/0/10. El resultado es lo que queríamos.

Hola Kelvin,

Tenga en cuenta que la LCA que colocó en Gi1/0/10 está mirando el tráfico en la dirección de entrada, desde el punto de vista del propio puerto. El tráfico que entra en Gi1/0/10 se origina por el dispositivo conectado a Gi1/0/10, que es 192.168.1.50. Si desea bloquear la conversación entre 192.168.1.50 y 192.168.2.60, debe hacer coincidir las direcciones IP de origen y destino de esta conversación, ya que aparecen en la dirección de entrada en Gi1/0/10: la IP de origen es 192.168.1.50, la IP de destino es 192.168.2.60.

Su ACL original funcionaría si la aplicara en la dirección saliente. Sin embargo, para los switchports en los switches Catalyst, las ACL solo se pueden aplicar en la dirección de entrada; No se admiten las ACL salientes en switchports.

¿Explicaría esto el comportamiento? Por favor, siéntase bienvenido a preguntar más!

Saludos
Pedro

Gracias Peter,

Para mí es más fácil entender que mi ACL original funcionaría si se aplicara en la dirección de salida.

Kelvin

Eso está bien. La alineación de las ACL, las direcciones de origen y destino, y la dirección de los flujos de tráfico no siempre es intuitiva. Requiere un poco de tiempo acostumbrarse. Lo estás consiguiendo. De cualquier manera, ¡me alegro de que puedas hacer que funcione!

Saludos
Pedro

Vamos a comenzar

¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.

Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco: