Re: Problemas con ACL Cisco

hector2017 · ‎10-20-2017

Tengo el siguiente esquema en cisco packet tracer:

Dos router 2911

Protocolo de enrutamiento OSPF 1, la red ya esta con este protocolo y funciona.

R1:

Interfaces conectadas:

gigabitethernet 0/0 ip: 10.10.1.1/30 conectado de R1 a R2 gigabitethernet 0/0

LAN 4:

gigabitethernet 0/1 ip: 10.10.8.1/24

PC1:

Ip: 10.10.8.2

Subnet: 255.255.255.0

Gateway: 10.10.8.1

LAN1:

Gigabitethernet 0/2 ip: 200.220.10.1

PC2:

Ip: 200.220.10.2

Subnet: 255.255.255.0

Gateway: 200.220.10.1

PC3:

Ip: 200.220.10.250

Subnet: 255.255.255.0

Gateway: 200.220.10.1

R2

Interfaces conectadas:

gigabitethernet 0/0 ip: 10.10.1.2/30 conectado de R2 a R1 gigabitethernet 0/0

LAN3:

gigabitethernet 0/1 ip: 172.168.20.1/24

PC4:

Ip: 172.168.20.2

Subnet: 255.255.255.0

Gateway: 172.168.20.1

LAN2:

gigabitethernet 0/2 ip: 192.168.1.1/24

PC5:

Ip: 192.168.1.128

Subnet: 255.255.255.0

Gateway: 192.168.1.1

PC6:

Ip: 192.168.1.126

Subnet: 255.255.255.0

Gateway: 192.168.1.1

Me solicitan dos ACL:

1° Que Lan4 solo acceda a LAN2, el resto debe de estar negado (Esta ACL no tengo problema esta sencilla me quedo así: en el router R1 declare la ACL: access-list 1 permit 192.168.1.0 0.0.0.255, access-list 1 deny any y la declare en la interfaz gigabitethernet 0/1 del R1: ip access-group 1 out) y funciona.

Mi duda es la siguiente:

Me solicitan una ACL 2° Lan 3 tendrá permitido acceder a las primeras 10 direcciones ip's de LAN1 y de LAN4, el resto deberá de estar negado.

Para este caso agregaría la ACL en el R2 y se que tengo que ponerla la acl en la gigabitethernet0/1 del R2, pero también tengo entendido que no puedes agregar una salida o entrada de acl en una interfaz o puerto, como le haría.

Tengo duda de como seria la wildcard para que permita acceso a las primeras 10 direcciones ip, me ayudan

Julio E. Moisa · ‎10-21-2017

Hola, Buenos dias,

Puedes por favor compartir el archivo de packet tracer en ZIP.

Se puede realizar de 2 manera incluyendo una por una o de una forma mas compleja que es utilizando wildcard, si es para 10 direcciones IP podrias intentar con algo similar a lo siguiente: 192.168.1.0 0.0.0.10

No estoy seguro si entiendo bien la pregunta 2, pero si puedes asociar una ACL a una interface, esto es utilizando el comando ip access-group <nombre/numero de la ACL> <Direccion IN o OUT>

ejemplo

access-list 100 deny ip any 192.168.1.0 0.0.0.10

access-list 100 permit ip any any

interface g0/0

ip access-group 100 out

Saludos

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

hector2017 · ‎10-21-2017

Hola julio buenas tardes.

Buenas tardes, aqui adjunto el archivo, se me olvidaba que tambien me solicitan otra access list y esta dice que LAN1 niege el medio segmento de LAN2, este no tengo problema, si lo pude hacer, me apoyas con el ACL 3, por favor, ya investigue que puedo cargar una ACL por interfaz es decir una de entrada y otra de salida, con el comando que me pasaste.

adjunto link del pkt por que no me deja adjuntarlo aqui:

http://www.mediafire.com/file/2zsvaharzz7wngp/acceslist.rar

Saludos.

Leonardo Pena Davila · ‎10-21-2017

Hola Hector, a manera de sugerencia una mejor mas eficiente de que puedas entener y mejorar tus conocimients seria enviando las ACL de la manera como tu las has pensado y como las aplicarias, de esta manera podemos ayudarte y podras visualizar mas rapidamente ese poquito que te falta para mejorarlas y hacer lo que te estan pidiendo.

Lamentablemente no tengo la version del PT con la que hiciste la ACL :-( no puedo ver tu diagrama.

Saludos

Exitos

hector2017 · ‎10-21-2017

Hola buenas noches Leonardo, mucho gusto.

Mira me estan solicitando 3 ACL las cuales:

1º Que LAN1 diniege el medio segmento de LAN2.

2º Que LAN4 permita LAN2 el resto debe de estar negado.

3º Que las 10 primeras direcciones ip de LAN3 permitan a LAN1 y LAN4, el resto debe de estar negado.

No tengo problema con lo siguiente:

Intente hacer lo siguiente, desde el router 1 cargue:

access-list 1 deny 192.168.1.0 0.0.0.127

access-list 1 permit 172.168.20.0 0.0.0.7

access-list 1 permit host 172.168.20.8

access-list 1 permit host 172.168.20.9

access-list 1 permit host 172.168.20.10

access-list 1 deny any

y esta ACL 1 la agregue en interface GigabitEthernet 0/2: ip access-gropu 1 out

luego en el mismo R1 cargue:

access-list 2 permit 172.168.20.0 0.0.0.7

access-list 2 permit host 172.168.20.8

access-list 2 permit host 172.168.20.9

access-list 2 permit host 172.168.20.10

access-list 2 deny any

y esta ACL 2 la agregue en interface GigabitEthernet 0/1: ip access-gropu 2 out

Si lo hago de esta manera se logra la ACL 2 y 3, pero la ACL 2 no funciona.

ahora si lo hago de esta manera:

Intente hacer lo siguiente, desde el router 1 cargue:

access-list 1 permit 192.168.1.0 0.0.0.127

access-list 1 permit 172.168.20.0 0.0.0.7

access-list 1 permit host 172.168.20.8

access-list 1 permit host 172.168.20.9

access-list 1 permit host 172.168.20.10

access-list 1 deny any

y esta ACL 1 la agregue en interface GigabitEthernet 0/2: ip access-gropu 1 out

luego en el mismo R1 cargue:

access-list 2 permit 172.168.20.0 0.0.0.7

access-list 2 permit host 172.168.20.8

access-list 2 permit host 172.168.20.9

access-list 2 permit host 172.168.20.10

access-list 2 deny any

y esta ACL 2 la agregue en interface GigabitEthernet 0/1: ip access-gropu 2 out

todo es lo mismo pero si le cambio en la sentencia: access-list 1 deny 192.168.1.0 0.0.0.127 por access-list 1 permit 192.168.1.0 0.0.0.127

Funciona

con esto cuncluyo que las ACL que me solicitan para el caso de la ACL1 se estaria contradiciendo como ven, segun mi logica concluye con eso.

La version que ocupe es la mas reciente la 7.

adjunto el diagrama.

Julio E. Moisa · ‎10-22-2017

Buen dia Hector,

No me ha quedado muy claro la 3era solicitud de ACL, puedes por favor proveerme mas detalles? tu podrias usuar una wildcard 0.0.0.15 eso bloquearia un rango de mascara 255.255.255.240, pero solo deberian de ser las primeras 10 direcciones IP?.

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

hector2017 · ‎10-22-2017

Hola Julio buenos dias.

Si con respecto a la ACL 3.

3º Que las 10 primeras direcciones ip de LAN3 permitan a LAN1 y LAN4, el resto debe de estar negado.

Significa que cuando mandes un ping desde cualquiera de las dos pcs de LAN1 y LAN4 solo te acepté las primeras 10 ip de LAN3 de la 1 a la 10

Por esa razón agregué las ACL en el r1

Permitiendo el segmento de LAN3 con Wild 0.0.0.7 y el resto que son tres computadoras agregue una por una con un host terminación 8 9 y 10

El problema es cuando en esa misma acl en el mismo r1 declaro la acl que deniegue el medio segmento de lan2 si pongo la acl como dienege 192.68.1.0 0.0.0.127 el resto negado no funciona solo agarra la Acl 3 que permite las primeras 10 direcciones IP de LAN3

Pero si pongo todo igual y le digo permite medio segmento de lan2 funciona todo según mi lógica si lo declaro como denegar estaría contradiciendo la ACl 1 con la ACl3