el 09-27-2021 02:21 PM
Mi propósito y por lo tanto la configuración son muy simples, pero de alguna manera no funciona.
Propósito: crear ACL en 2960 para denegar todo el tráfico proveniente de 192.168.2.60 a 192.168.1.50 a través del puerto GigabitEthernet1/0/10. Permite todos los demás tipos de tráfico.
Lista de acceso 105 Denegar host IP 192.168.2.60 Host 192.168.1.50
lista de acceso 105 permitir IP cualquiera
interfaz GigabitEthernet1/0/10
switchport access vlan 6 < el puerto GigabitEthernet1/0/10 pertenece a vlan 6
grupo de acceso IP 105 en
Resultado: El tráfico procedente de 192.168.2.60 aún puede llegar a 192.168.1.50 a través del puerto GigabitEthernet1/0/10. ¿Por qué???
¡Resuelto! Ir a solución.
el 09-27-2021 02:21 PM
Kelvin
Eso es extraño, ciertamente, la configuración en sí parece estar completamente bien.
Perdóneme si esta pregunta parece estúpida, pero ¿está el 192.168.2.60 realmente conectado con Gi1/0/10? Me pregunto si Gi1/0/10 está quizás conectado a 192.168.1.50 en su lugar porque en ese caso, la ACL sería ineficaz (ya que el tráfico entrante en Gi1/0/10 en ese caso tendría las direcciones IP de origen y destino intercambiadas).
¿Se trata de un conmutador de producción o de una configuración de laboratorio? ¿Cuál es la versión exacta de IOS que se ejecuta en él?
Saludos
Pedro
el 09-27-2021 02:21 PM
Hola Kelvin,
Tenga en cuenta que la LCA que colocó en Gi1/0/10 está mirando el tráfico en la dirección de entrada, desde el punto de vista del propio puerto. El tráfico que entra en Gi1/0/10 se origina por el dispositivo conectado a Gi1/0/10, que es 192.168.1.50. Si desea bloquear la conversación entre 192.168.1.50 y 192.168.2.60, debe hacer coincidir las direcciones IP de origen y destino de esta conversación, ya que aparecen en la dirección de entrada en Gi1/0/10: la IP de origen es 192.168.1.50, la IP de destino es 192.168.2.60.
Su ACL original funcionaría si la aplicara en la dirección saliente. Sin embargo, para los switchports en los switches Catalyst, las ACL solo se pueden aplicar en la dirección de entrada; No se admiten las ACL salientes en switchports.
¿Explicaría esto el comportamiento? Por favor, siéntase bienvenido a preguntar más!
Saludos
Pedro
el 09-27-2021 02:21 PM
Kelvin
Eso es extraño, ciertamente, la configuración en sí parece estar completamente bien.
Perdóneme si esta pregunta parece estúpida, pero ¿está el 192.168.2.60 realmente conectado con Gi1/0/10? Me pregunto si Gi1/0/10 está quizás conectado a 192.168.1.50 en su lugar porque en ese caso, la ACL sería ineficaz (ya que el tráfico entrante en Gi1/0/10 en ese caso tendría las direcciones IP de origen y destino intercambiadas).
¿Se trata de un conmutador de producción o de una configuración de laboratorio? ¿Cuál es la versión exacta de IOS que se ejecuta en él?
Saludos
Pedro
el 09-27-2021 02:21 PM
Hola Pedro,
Gracias por sus consejos. ¡Tu pregunta realmente ayudó a resolver las cosas!
Aquí está la conexión física:
192.168.1.50 conectado directamente a Cisco 2960 GigabitEthernet1/0/10 --> Cisco Core Switch 3850 -->192.168.2.60
Mi propósito y configuración:
Cree ACL en 2960 para denegar todo el tráfico proveniente de 192.168.2.60 a 192.168.1.50 a través del puerto GigabitEthernet1/0/10. Permite todos los demás tipos de tráfico.
Lista de acceso 105 Denegar host IP 192.168.2.60 Host 192.168.1.50
lista de acceso 105 permitir IP cualquiera
Resultado previsto:
Pensé que era correcto usar la lista de acceso 105 denegar host ip < IP de origen que es 192.168.2.60> host <DESTINO IP 192.168.1.50>. ¿No fue así? El dispositivo remoto 192.168.2.60 se considera dispositivo de origen/IP, y el dispositivo conectado directamente 192.168.1.50 es dispositivo de destino/IP.
Nueva configuración:
Lista de acceso 105 Denegar host IP 192.168.2.60 Host 192.168.1.50
Lista de acceso 105 Denegar host IP 192.168.1.50 Host 192.168.2.60
lista de acceso 105 permitir IP cualquiera
Resultado: El tráfico procedente de 192.168.2.60 no puede llegar a 192.168.1.50 a través del puerto GigabitEthernet1/0/10. El resultado es lo que queríamos.
el 09-27-2021 02:21 PM
Hola Kelvin,
Tenga en cuenta que la LCA que colocó en Gi1/0/10 está mirando el tráfico en la dirección de entrada, desde el punto de vista del propio puerto. El tráfico que entra en Gi1/0/10 se origina por el dispositivo conectado a Gi1/0/10, que es 192.168.1.50. Si desea bloquear la conversación entre 192.168.1.50 y 192.168.2.60, debe hacer coincidir las direcciones IP de origen y destino de esta conversación, ya que aparecen en la dirección de entrada en Gi1/0/10: la IP de origen es 192.168.1.50, la IP de destino es 192.168.2.60.
Su ACL original funcionaría si la aplicara en la dirección saliente. Sin embargo, para los switchports en los switches Catalyst, las ACL solo se pueden aplicar en la dirección de entrada; No se admiten las ACL salientes en switchports.
¿Explicaría esto el comportamiento? Por favor, siéntase bienvenido a preguntar más!
Saludos
Pedro
el 09-27-2021 02:21 PM
Gracias Peter,
Para mí es más fácil entender que mi ACL original funcionaría si se aplicara en la dirección de salida.
el 09-27-2021 02:21 PM
Kelvin
Eso está bien. La alineación de las ACL, las direcciones de origen y destino, y la dirección de los flujos de tráfico no siempre es intuitiva. Requiere un poco de tiempo acostumbrarse. Lo estás consiguiendo. De cualquier manera, ¡me alegro de que puedas hacer que funcione!
Saludos
Pedro
¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.
Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco:
Navegue y encuentre contenido personalizado de la comunidad