ok.

Si quieres dame los direccionamientos de cada VLAN especificando cual es la de administración y envíame la dirección ip privada que utilizaran tu y tu jefe esto, con el propósito de enviarte el ejemplo de configuración de ejemplo lo más real posible.

Hola Daniel,

La Vlan de administración o Management es la Vlan 10 y la ip de mi jefe y mia que son las dos que queremos acceder a la vlan management son la 10.133.5.250 y 10.133.4.250,

Las Vlans que tenemos y puedes verlo en el pkt que te comparto son:

!
interface Vlan10
ip address 10.133.1.1 255.255.255.0
ip access-group ACCESS_VLAN10_ANY_VLANS out
!
interface Vlan20
ip address 10.133.2.1 255.255.255.0
ip access-group NO_ACCESS_VLAN10 out
!
interface Vlan30
ip address 10.133.3.1 255.255.255.0
ip access-group NO_ACCESS_VLAN10 out
!
interface Vlan40
ip address 10.133.4.1 255.255.252.0
ip access-group NO_ACCESS_VLAN10 out
!
interface Vlan80
ip address 10.133.8.1 255.255.255.0
!
interface Vlan90
ip address 10.133.90.1 255.255.254.0
!
interface Vlan100
ip address 10.133.100.1 255.255.255.0
!
interface Vlan110
ip address 10.133.110.1 255.255.255.0
!

Y las access-list que estoy usando son estas, he conseguido que desde las distintas Vlans diferentes a la Management o vlan 10 no puedan llegar a la Vlan 10, pero me esta impidiendo que desde la Vlan 10 si pueda llegar a cualquier otra vlan, he puesto estas Access-list :

!
ip access-list extended NO_ACCESS_VLAN10
remark bloqueo desde vlan 20 a vlan 10
deny ip 10.133.2.0 0.0.0.255 10.133.1.0 0.0.0.255
permit ip 10.133.2.0 0.0.0.255 any
remark bloqueo desde vlan 30 a vlan 10
deny ip 10.133.3.0 0.0.0.255 10.133.1.0 0.0.0.255
permit ip 10.133.3.0 0.0.0.255 any
remark bloqueo desde vlan 40 a vlan 10
deny ip 10.133.4.0 0.0.3.255 10.133.1.0 0.0.0.255
permit ip 10.133.4.0 0.0.3.255 any
ip access-list extended ACCESS_VLAN10_ANY_VLANS
remark permitir desde vlan 10 a Vlans 20
permit ip 10.133.1.0 0.0.0.255 10.133.2.0 0.0.0.255
remark permitir desde vlan 10 a Vlans 30
permit ip 10.133.1.0 0.0.0.255 10.133.3.0 0.0.0.255
remark permitir desde vlan 10 a Vlans 40
permit ip 10.133.1.0 0.0.0.255 10.133.4.0 0.0.3.255
remark permitir desde vlan 10 a Vlans 80
permit ip 10.133.1.0 0.0.0.255 10.133.8.0 0.0.0.255
remark permitir desde vlan 10 a Vlans 90
permit ip 10.133.1.0 0.0.0.255 10.133.9.0 0.0.0.255
remark permitir desde vlan 10 a Vlans 100
permit ip 10.133.1.0 0.0.0.255 10.133.100.0 0.0.0.255
remark permitir desde vlan 10 a Vlans 110
permit ip 10.133.1.0 0.0.0.255 10.133.110.0 0.0.0.255
!

Te subo también en este link donde comparto el archivo pkt por si quieres probar algo.

https://www.dropbox.com/sh/thkyj9ybntd1r1y/AAAL0RA5hvvoWXvQZU4xUDzua?dl=0

Un saludo y muchas gracias

Hola Alberto.

No entiendo la parte en donde logras aislar la VLAN 10 del resto de VLANs, pero si quieres que la VLAN 10 llegue al resto de ellas?

No será que buscas por ejemplo, tener solo acceso via telnet a los equipos en la VLAN de administración, pero si necesitas comunicación entre la VLAN 10 y el resto de ellas?

De lo contrario no veo porque intentas aislar y después permitir.

Hola Daniel,

A lo mejor esta mal, pero mi intención es en teoria 2 cosas y es poder llegar desde la Vlan 10 (managment) a cualquiera de la otras vlans, 20,30,40,80,90 etc

Y que desde cualquier Vlan 20,30,40,80,90,etc, que no pueda llegar a la Vlan 10, con la unica excepción que pueda llegar a la Vlan 10 solo desde la ip de mi jefe y la mi que ya las puse en la consulta anterior

Ya se que a lo mejor es fácil para ti, pero a mi se me da un poco mal y no doy con ellas

Hola Alberto.

En realidad veo un poco confuso e incluso inexplicable el porqué lo quieres aislar la VLAN 10 en un solo sentido.

No entiendo el requerimiento ya que si permites que la VLAN 10 llegue a cualquier otra VLAN entonces deberas tener una comunicación full direction.

Para qué necesitas este escenario?

Mi idea es que se pueda llegar desde la vlan 10 a cualquier otra vlan, pero a lo mejor tiene razón y lo suyo es no llegue a ninguna vlan desde la vlan 10, porque esta vlan 10 es la de routers y switches, entonces a lo mejor lo necesario sería solo que las ip de mi jefe y le mia puedan llegar solo a la vlan 10 ¿no? ¿eso sería lo mas normal entonces no?

Entonces segun deduzo lo logico que se podría hacer, es que desde cualquier Vlan no se pueda llegar a la Vlan 10 y solo las iPs permitidas que puedan llegar ¿se te ocurre alguna otra cosa que con tu esperiencia se me escape?

Te importaría decirme como serían estas ACLs y como irían configuradas en las SVI oportunas

Mil gracias

Hola Alberto, revisa el siguiente ejemplo, por favor

interface Vlan10
ip address 10.133.1.1 255.255.255.0
ip access-group ACCESO out
!
interface Vlan20
ip address 10.133.2.1 255.255.255.0
!
interface Vlan30
ip address 10.133.3.1 255.255.255.0
!
interface Vlan40
ip address 10.133.4.1 255.255.252.0
!
interface Vlan80
ip address 10.133.8.1 255.255.255.0
!
interface Vlan90
ip address 10.133.90.1 255.255.254.0
!
interface Vlan100
ip address 10.133.100.1 255.255.255.0
!
interface Vlan110
ip address 10.133.110.1 255.255.255.0
!
[24/02/16 4:33:10 p.m.] alejandro alcántara: ip access-list extended ACCESO
permit ip host 10.133.4.10 10.133.1.0 0.0.0.255
permit ip host 10.133.4.20 10.133.1.0 0.0.0.255
deny ip any 10.133.1.0 0.0.0.255

**Por favor si la informacion fue util marca esta respuesta como correcta**

**Tu reconocimiento nos alienta a seguir participando en los foros **

ok, mañana lo pruebo en la oficina, y te digo algo, pero si entiendo bien con esto quieres dar acceso a la vlan 10 solo a 2 IPs que podría ser la mía y la de mi jefe ¿no?

Pero para esto siempre tengo que tener la misma IP, cosa que se puede conseguir, pero a lo mejor sería mejor si se pudiese dar permiso a las MAC del equipo de mi jefe y de mi equipo en vez de a las IPs, creo debería haber alguna forma de poder hacer esto ¿no? te lo digo por si tu has vista esta situación en alguna de tus experiencias y si se puede hacer me gustaría saber como hacerlo.

Muchas gracias 

A si funciona bien.

No necesitas dar de alta las direcciones MAC

Pero en el caso que no se usase IP fija en los equipos ¿se podría realizar por MAC?

Cuando dices a que así funciona entiendo que te refieres a los de que solo 2 IPs puedan acceder a la Vlan 10, pero las ACLs que te puse en el laboratorio de:

!
ip access-list extended NO_ACCESS_VLAN10
remark bloqueo desde vlan 20 a vlan 10
deny ip 10.133.2.0 0.0.0.255 10.133.1.0 0.0.0.255
permit ip 10.133.2.0 0.0.0.255 any
remark bloqueo desde vlan 30 a vlan 10
deny ip 10.133.3.0 0.0.0.255 10.133.1.0 0.0.0.255
permit ip 10.133.3.0 0.0.0.255 any
remark bloqueo desde vlan 40 a vlan 10
deny ip 10.133.4.0 0.0.3.255 10.133.1.0 0.0.0.255
permit ip 10.133.4.0 0.0.3.255 any

¿Estas también te funcionaban? lo digo porque si es asi entonces solo tendría que añadir la ACLs que acabas de decirme de 

ip access-list extended ACCESO
permit ip host 10.133.4.10 10.133.1.0 0.0.0.255
permit ip host 10.133.4.20 10.133.1.0 0.0.0.255
deny ip any 10.133.1.0 0.0.0.255

Me puede confirmar esto por favor, aunque mañana lo probaré

También me gustaría que me dijeras lo de si se puede por por MAC la ACLs que me has enviado de "ip access-list extended ACCESO"

Muchas gracias Daniel

Ya no necesitas otra lista de acceso adicional.

La lista que te comento tiene un deny explícito "deny ip any 10.133.1.0 0.0.0.255"

Con lo cual evitas que cualquier otro segmento llegue a la VLAN de administración.

Si no quieres ocupar IP ACLs puedes ocupar MAC ACLs, nunca las he configurado pero te dejo en link del ejemplo de configuración

http://www.cisco.com/c/en/us/td/docs/switches/datacenter/sw/4_1/nx-os/security/configuration/guide/sec_nx-os-cfg/sec_macacls.pdf

**Por favor si la informacion fue util marca esta respuesta como correcta**

**Tu reconocimiento nos alienta a seguir participando en los foros **

Ok, mañana lo pruebo y te digo

Y sobre si se me ocurre probar lo de las MAC ACLs ahora me surge la duda si se puede mezclar con estas ACL que me sugieres:

ip access-list extended ACCESO
permit ip host 10.133.4.10 10.133.1.0 0.0.0.255
permit ip host 10.133.4.20 10.133.1.0 0.0.0.255
deny ip any 10.133.1.0 0.0.0.255

Y que efecto o prioridades se darían, no se intentaré investigar si se te ocurre algo sobre esta mezcla será bienvenido.

Muchas gracias Daniel por la gran ayuda que me estas dando, siempre es una seguridad personal el poder preguntar y aprender de gente con experiencia como tu, bueno lo dicho lo pruebo mañana y te cuento.

Un saludo

Hola Daniel,

Las pruebas han salido bien, lo único que me queda pendiente es poder poner las ACLs con la MAC de los equipos que quiero que se conecten, pero pensando bien esto nos nos vale y debe ser por MACs porque cuando estas en la LAN puedes poner una IP fija, pero cuando nos conectemos a la WIFI coorporativa esta claro que esto usa otro DHCP y la tarjeta wifi tendrá otra mac distinta a la interfaz de red, con lo que lo lógico sería usar las MACs oportuna, otro situación que se puede dar es cuando nos conectamos por VPN te dará una IP distinta, con que si tenemos la MAC puesta en la ACL esta via también estaría resuelta ¿no?

Tendría que poner las ACLs con MAC's y esto no se si tu puedes ayudarme

Un saludo y muchas gracias