Comprar ou Renovar
Comprar ou Renovar
cancelar
Activar sugestões
A sugestão automática ajuda-o a especificar os resultados de pesquisa sugerindo-lhe correspondências enquanto escreve.
Mostrar resultados para 
Pesquisar em vez de 
Queria dizer: 
cancel
Iniciar uma conversa
217
Apresentações
0
Útil
5
Respostas

Catalyst 2960 switch lista ACL na porta não está funcionando corretamente

Ir para a Solução
Translator
Community Manager
Community Manager

em ‎09-27-2021 02:21 PM

Meu propósito e, portanto, configuração são muito simples, mas de alguma forma não funciona.

Propósito: criar ACL em 2960 para negar todo o tráfego que vem de 192.168.2.60 para 192.168.1.50 através da porta GigabitEthernet1/0/10. Permite todos os outros tipos de tráfego.

lista de acesso 105 negar host ip 192.168.2.60 host 192.168.1.50
lista de acesso 105 permitir ip qualquer

interface GigabitEthernet1/0/10
switchport acesso vlan 6 < a porta GigabitEthernet1/0/10 pertence ao vlan 6
ip acesso-grupo 105 em

Resultado: O tráfego proveniente de 192.168.2.60 ainda pode chegar a 192.168.1.50 através da porta GigabitEthernet1/0/10. Como é que???

0 Útil
2 Soluções Aceitas

Soluções aceites

Ir para a Solução
Translator
Community Manager
Community Manager

em ‎09-27-2021 02:21 PM

Kelvin

Isso é estranho - certamente, a configuração em si parece estar completamente bem.

Perdoe-me se essa pergunta parece estúpida, mas o 192.168.2.60 está realmente ligado ao Gi1/0/10? Pergunto-me se o Gi1/0/10 está talvez conectado ao 192.168.1.50, porque nesse caso, a ACL seria realmente ineficaz (uma vez que o tráfego de entrada em Gi1/0/10 nesse caso teria os endereços IP de origem e destino trocados).

Isso é um interruptor de produção ou uma configuração de laboratório? Qual é a versão exata do IOS em execução?

Atenciosamente
Pedro

Ver solução na publicação original

0 Útil

Ir para a Solução
Translator
Community Manager
Community Manager
Em resposta a Translator

em ‎09-27-2021 02:22 PM

Oi Kelvin,

Tenha em mente que a ACL que você colocou no Gi1/0/10 está olhando para o tráfego na direção de entrada - do ponto de vista da própria porta. O tráfego que entra em Gi1/0/10 é originado pelo dispositivo conectado ao Gi1/0/10, que é 192.168.1.50. Se você quiser bloquear a conversa entre 192.168.1.50 e 192.168.2.60, você precisa combinar os endereços IP de origem e destino para esta conversa, pois eles aparecem na direção de entrada em Gi1/0/10: o IP de origem sendo 192.168.1.50, sendo o IP de destino 192.168.2.60.

Sua ACL original funcionaria se você aplicasse na direção de saída. No entanto, para switchports em switches Catalyst, as ACLs só podem ser aplicadas na direção de entrada; ACLs de saída em switchports não são suportados.

Isso explicaria o comportamento? Por favor, sinta-se bem-vindo para perguntar mais!

Atenciosamente
Pedro

Ver solução na publicação original

0 Útil
5 RESPOSTAS 5

Ir para a Solução
Translator
Community Manager
Community Manager

em ‎09-27-2021 02:21 PM

Kelvin

Isso é estranho - certamente, a configuração em si parece estar completamente bem.

Perdoe-me se essa pergunta parece estúpida, mas o 192.168.2.60 está realmente ligado ao Gi1/0/10? Pergunto-me se o Gi1/0/10 está talvez conectado ao 192.168.1.50, porque nesse caso, a ACL seria realmente ineficaz (uma vez que o tráfego de entrada em Gi1/0/10 nesse caso teria os endereços IP de origem e destino trocados).

Isso é um interruptor de produção ou uma configuração de laboratório? Qual é a versão exata do IOS em execução?

Atenciosamente
Pedro

0 Útil

Ir para a Solução
Translator
Community Manager
Community Manager
Em resposta a Translator

em ‎09-27-2021 02:22 PM

Olá Peter,

Obrigado pelo conselho. Sua pergunta realmente ajudou a resolver as coisas!

Aqui está a conexão física:

192.168.1.50 conectado diretamente ao Cisco 2960 GigabitEthernet1/0/10 --> Cisco Core Switch 3850 -->192.168.2.60

Meu propósito e configuração:

Crie a ACL em 2960 para negar todo o tráfego que vem de 192.168.2.60 para 192.168.1.50 através da porta GigabitEthernet1/0/10. Permite todos os outros tipos de tráfego.

lista de acesso 105 negar host ip 192.168.2.60 host 192.168.1.50
lista de acesso 105 permitir ip qualquer

Resultado esperado:

Achei correto usar a lista de acesso 105 negar ip host <source IP que é 192.168.2.60> host <destination IP 192.168.1.50>. Não foi? O dispositivo remoto 192.168.2.60 é considerado como dispositivo de origem/IP, e o dispositivo diretamente conectado 192.168.1.50 é o dispositivo de destino/IP.

Nova configuração:

lista de acesso 105 negar host ip 192.168.2.60 host 192.168.1.50

lista de acesso 105 negar host ip 192.168.1.50 host 192.168.2.60
lista de acesso 105 permitir ip qualquer

Resultado: O tráfego proveniente de 192.168.2.60 não pode chegar a 192.168.1.50 através da porta GigabitEthernet1/0/10. O resultado é o que queríamos.

0 Útil

Ir para a Solução
Translator
Community Manager
Community Manager
Em resposta a Translator

em ‎09-27-2021 02:22 PM

Oi Kelvin,

Tenha em mente que a ACL que você colocou no Gi1/0/10 está olhando para o tráfego na direção de entrada - do ponto de vista da própria porta. O tráfego que entra em Gi1/0/10 é originado pelo dispositivo conectado ao Gi1/0/10, que é 192.168.1.50. Se você quiser bloquear a conversa entre 192.168.1.50 e 192.168.2.60, você precisa combinar os endereços IP de origem e destino para esta conversa, pois eles aparecem na direção de entrada em Gi1/0/10: o IP de origem sendo 192.168.1.50, sendo o IP de destino 192.168.2.60.

Sua ACL original funcionaria se você aplicasse na direção de saída. No entanto, para switchports em switches Catalyst, as ACLs só podem ser aplicadas na direção de entrada; ACLs de saída em switchports não são suportados.

Isso explicaria o comportamento? Por favor, sinta-se bem-vindo para perguntar mais!

Atenciosamente
Pedro

0 Útil

Ir para a Solução
Translator
Community Manager
Community Manager
Em resposta a Translator

em ‎09-27-2021 02:22 PM

Obrigado Peter,

Para mim é mais fácil entender que minha ACL original funcionaria se fosse aplicada na direção de saída.

0 Útil

Ir para a Solução
Translator
Community Manager
Community Manager
Em resposta a Translator

em ‎09-27-2021 02:22 PM

Kelvin

Não faz mal, não faz mal. Alinhar ACLs, os endereços de origem e destino e a direção dos fluxos de tráfego nem sempre é intuitivo. Requer algum tempo para se acostumar. Você está chegando lá. De qualquer forma, estou feliz que você poderia fazê-lo funcionar!

Atenciosamente
Pedro

0 Útil

Quick links

Navegue pelos links rápidos da Comunidade e usufrua de um conteúdo personalizado e em seu idioma nativo:

Comunidade de FSO Documentos de Ajuda sobre a Comunidade Vídeo dos últimos eventos
Customers Also Viewed These Support Documents