Re: Visibilidad entre Redes

fernandomoreno777523023 · ‎03-01-2021

Estimados muy buenos días, quiero hacer una pregunta para resolver un problema, que de seguro es muy sencillo, pero no he logrado dar con la solución.

El tema es que sobre un router tengo configurada en la int f0/0 la ip 172.16.1.0/24 y sobre la int f0/1 la ip 192.168.1.0/24 , hasta ahí esta todo correcto.

El problema que tengo es que necesito que los host ubicados en el segmento de la red 192.168.1.0 no puedan acceder, y ni siquiera pingear a la IP 172.16.1.1 que es el DG de la red y esta configurado en la int f0/0, el tema de los host de la red 172 he logrado con un ACL hacer que no sean visibles para la red 192, pero no asi el DG de la 172.

Aguardo sus comentarios.

Desde ya muchas gracias.

luis_cordova · ‎03-01-2021

Hola @fernandomoreno777523023

Te pido compartir la ACL configurada y la aplicación de esta en la interface.

Saludos

fernandomoreno777523023 · ‎03-01-2021

Va lo solicitado

interface FastEthernet0/0
description Lan Operativa
ip address 172.16.1.1 255.255.255.0

interface FastEthernet0/1

description Lan Administrativa
ip address 192.168.1.1 255.255.255.0
ip access-group OP out

ip access-list extended OP
deny ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255
deny ip any any

Saludos.

Diana Karolina Rojas · ‎03-01-2021

Hola!

Mi recomendación: pon la ACL en dirección inbound.

***Por favor no olvides calificar y/o marcar como solución las respuestas útiles, tu calificación promueve nuestra participación.

Saludos,

luis_cordova · ‎03-01-2021

Hola @fernandomoreno777523023

Efectivamente, como indica Diana, te sugiero probar cambiando la dirección desde out a in.

De esta formas, los paquetes con dirección de origen 192 y con dirección de destino 172, serán denegados a la entrada de la interface fa 0/1.

ip access-group OP in

Así, la denegación ocurrirá antes que los paquetes entren al router y sean procesados.

Prueba y nos cuentas.

Saludos

Javier Acuña · ‎03-01-2021

Saludos gracias por comunicarte con la comunidad de cisco a continuación te envío la información solicitada:

Para denegar el tráfico:

hostname R1
!
interface ethernet0/01
ip access-group 1 in
!
access-list 1 deny 192.168.1.0 0.0.0.255
adeny ip any

Recuerda mantener el mismo direccionamiento con el que vienes trabajando.

Por favor no olvides calificar esta respuesta ya que esto motiva a continuar apoyando en la comunidad.

Julio E. Moisa · ‎03-04-2021

Hola

Aplica la ACL extendida en direccion IN bajo la interface que contiene a la red que no debe tener acceso a la otra red, solo recuerda agregar al final un permit ip any any para evitar que se bloquee todo el trafico restante.

seria algo asi

ip access-list extended ACL

deny ip 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255

permit ip any any

int f0/1

ip access-group ACL in

Saludos

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

fernandomoreno777523023 · ‎03-04-2021

Muchas Gracias, en los próximos días estaré probando la solución.

Hilda Arteaga · ‎03-10-2021

gracias a todos por sus contribuciones y ayuda