em 09-27-2021 02:21 PM
Meu propósito e, portanto, configuração são muito simples, mas de alguma forma não funciona.
Propósito: criar ACL em 2960 para negar todo o tráfego que vem de 192.168.2.60 para 192.168.1.50 através da porta GigabitEthernet1/0/10. Permite todos os outros tipos de tráfego.
lista de acesso 105 negar host ip 192.168.2.60 host 192.168.1.50
lista de acesso 105 permitir ip qualquer
interface GigabitEthernet1/0/10
switchport acesso vlan 6 < a porta GigabitEthernet1/0/10 pertence ao vlan 6
ip acesso-grupo 105 em
Resultado: O tráfego proveniente de 192.168.2.60 ainda pode chegar a 192.168.1.50 através da porta GigabitEthernet1/0/10. Como é que???
Solucionado! Ir para a Solução.
em 09-27-2021 02:21 PM
Kelvin
Isso é estranho - certamente, a configuração em si parece estar completamente bem.
Perdoe-me se essa pergunta parece estúpida, mas o 192.168.2.60 está realmente ligado ao Gi1/0/10? Pergunto-me se o Gi1/0/10 está talvez conectado ao 192.168.1.50, porque nesse caso, a ACL seria realmente ineficaz (uma vez que o tráfego de entrada em Gi1/0/10 nesse caso teria os endereços IP de origem e destino trocados).
Isso é um interruptor de produção ou uma configuração de laboratório? Qual é a versão exata do IOS em execução?
Atenciosamente
Pedro
em 09-27-2021 02:22 PM
Oi Kelvin,
Tenha em mente que a ACL que você colocou no Gi1/0/10 está olhando para o tráfego na direção de entrada - do ponto de vista da própria porta. O tráfego que entra em Gi1/0/10 é originado pelo dispositivo conectado ao Gi1/0/10, que é 192.168.1.50. Se você quiser bloquear a conversa entre 192.168.1.50 e 192.168.2.60, você precisa combinar os endereços IP de origem e destino para esta conversa, pois eles aparecem na direção de entrada em Gi1/0/10: o IP de origem sendo 192.168.1.50, sendo o IP de destino 192.168.2.60.
Sua ACL original funcionaria se você aplicasse na direção de saída. No entanto, para switchports em switches Catalyst, as ACLs só podem ser aplicadas na direção de entrada; ACLs de saída em switchports não são suportados.
Isso explicaria o comportamento? Por favor, sinta-se bem-vindo para perguntar mais!
Atenciosamente
Pedro
em 09-27-2021 02:21 PM
Kelvin
Isso é estranho - certamente, a configuração em si parece estar completamente bem.
Perdoe-me se essa pergunta parece estúpida, mas o 192.168.2.60 está realmente ligado ao Gi1/0/10? Pergunto-me se o Gi1/0/10 está talvez conectado ao 192.168.1.50, porque nesse caso, a ACL seria realmente ineficaz (uma vez que o tráfego de entrada em Gi1/0/10 nesse caso teria os endereços IP de origem e destino trocados).
Isso é um interruptor de produção ou uma configuração de laboratório? Qual é a versão exata do IOS em execução?
Atenciosamente
Pedro
em 09-27-2021 02:22 PM
Olá Peter,
Obrigado pelo conselho. Sua pergunta realmente ajudou a resolver as coisas!
Aqui está a conexão física:
192.168.1.50 conectado diretamente ao Cisco 2960 GigabitEthernet1/0/10 --> Cisco Core Switch 3850 -->192.168.2.60
Meu propósito e configuração:
Crie a ACL em 2960 para negar todo o tráfego que vem de 192.168.2.60 para 192.168.1.50 através da porta GigabitEthernet1/0/10. Permite todos os outros tipos de tráfego.
lista de acesso 105 negar host ip 192.168.2.60 host 192.168.1.50
lista de acesso 105 permitir ip qualquer
Resultado esperado:
Achei correto usar a lista de acesso 105 negar ip host <source IP que é 192.168.2.60> host <destination IP 192.168.1.50>. Não foi? O dispositivo remoto 192.168.2.60 é considerado como dispositivo de origem/IP, e o dispositivo diretamente conectado 192.168.1.50 é o dispositivo de destino/IP.
Nova configuração:
lista de acesso 105 negar host ip 192.168.2.60 host 192.168.1.50
lista de acesso 105 negar host ip 192.168.1.50 host 192.168.2.60
lista de acesso 105 permitir ip qualquer
Resultado: O tráfego proveniente de 192.168.2.60 não pode chegar a 192.168.1.50 através da porta GigabitEthernet1/0/10. O resultado é o que queríamos.
em 09-27-2021 02:22 PM
Oi Kelvin,
Tenha em mente que a ACL que você colocou no Gi1/0/10 está olhando para o tráfego na direção de entrada - do ponto de vista da própria porta. O tráfego que entra em Gi1/0/10 é originado pelo dispositivo conectado ao Gi1/0/10, que é 192.168.1.50. Se você quiser bloquear a conversa entre 192.168.1.50 e 192.168.2.60, você precisa combinar os endereços IP de origem e destino para esta conversa, pois eles aparecem na direção de entrada em Gi1/0/10: o IP de origem sendo 192.168.1.50, sendo o IP de destino 192.168.2.60.
Sua ACL original funcionaria se você aplicasse na direção de saída. No entanto, para switchports em switches Catalyst, as ACLs só podem ser aplicadas na direção de entrada; ACLs de saída em switchports não são suportados.
Isso explicaria o comportamento? Por favor, sinta-se bem-vindo para perguntar mais!
Atenciosamente
Pedro
em 09-27-2021 02:22 PM
Obrigado Peter,
Para mim é mais fácil entender que minha ACL original funcionaria se fosse aplicada na direção de saída.
em 09-27-2021 02:22 PM
Kelvin
Não faz mal, não faz mal. Alinhar ACLs, os endereços de origem e destino e a direção dos fluxos de tráfego nem sempre é intuitivo. Requer algum tempo para se acostumar. Você está chegando lá. De qualquer forma, estou feliz que você poderia fazê-lo funcionar!
Atenciosamente
Pedro
Descubra e salve suas ideias favoritas. Volte para ver respostas de especialistas, passo a passo, tópicos recentes e muito mais.
Novo por aqui? Comece com estas dicas. Como usar a Comunidade Guia do novo membro
Navegue pelos links rápidos da Comunidade e usufrua de um conteúdo personalizado e em seu idioma nativo: