Lab #19 – ACLs extendidas

NUESTROS CURSOS Foros CURSO CCNA 200-301 Lab #19 – ACLs extendidas

Viendo 5 entradas - de la 1 a la 5 (de un total de 5)
  • Autor
    Entradas
  • #17637
    AdminNG
    Superadministrador
    #25392

    Buenas Alvaro, te comento mi consulta. En el punto donde la pc de la vlan 20 tiene que ser la única que se pueda comunicar con el servidor yo configure de la siguiente manera donde en la lista 199 hice que la ip del host de la pc se pueda comunicar con el host del servidor y para finalizar coloque el comando accest-list 199 deny ip any any y con eso me basto para que ningun dispositivo se pueda conectar con el servidor incluido los dispositivos de las vlan 30 y 40. La tarea numero 1 se mantuvo la pc3 no se puede comunicar con la laptop 0 de la vlan 40 la unica cosa que me parecio rara fue que aparecio una lista de acceso numero 101 en el core 1 la cual yo no cree. Que crees que sea?configuracion ACL

    #25398
    AlvaroM
    Superadministrador

    Hola Miguel!

    El problema de tu ACL «access-list 199 deny ip any any» es que estas bloqueando la comunicación de CUALQUIER HOST con CUALQUIER HOST independiente de donde se encuentre. Con eso básicamente estas evitando que cualquier dispositivo de la VLAN 20 tenga comunicación con otros dispositivos, por ejemplo si colocas otro dispositivo en esa VLAN ya no tendría comunicación con el servidor, pero tampoco con los hosts de otras VLAN y con Internet lo cual no es correcto.

    Respecto a tu ACL 101, te comento que yo acabo de abrir el archivo «INCOMPLETO» y no aparece la ACL mencionada. Sin embargo esa ACL sí está configurada en el archivo de Packet Tracer «COMPLETO»… se me hace que tal vez estuviste trabajando con el archivo COMPLETO y de ahí el error. Intenta abrir nuevamente el archivo SIN configuración y parte de ahí para realizar las configuraciones.

    Atentos a tus comentarios.

    Saludos cordiales.

    • Esta respuesta fue modificada hace 1 año, 6 meses por AlvaroM.
    #32613
    Pau Salas Cerda
    Participante

    Muy buenas
    En el último ejercicio de que se prohíbe la conexión a internet al servidor solamente permites con una regla que el servidor pueda enviar paquetes al pc1 de la vlan 20.
    Yo pregunto si el servidor pudiera comunicarse con todos los dispositivos de nuestra red pero no pueda llegar a internet, se tendría que hacer una ACL permit para cada vlan en nuestra red en el router 0 o se podría hacer un ACL deny all by host al router_CONEX_ISP cuando un paquete suyo intenta salir a internet?
    Muchas Gracias

    #32629
    AlvaroM
    Superadministrador

    Hola Pau!

    Una solución a lo que planteas y que nos permite evitar configurar múltiples reglas a cada red lógica de la red… es que configures 3 reglas permit a las direcciones privadas, es decir permitir tráfico a la 10.0.0.0/8, 172.16.0.0/12 y 192.168.0.0/16, esta configuración la deberíamos realizar en el router0. Con esta configuración permites que tu tráfico del servidor circule por tu red, pero cualquier tráfico destinado a una IP pública (Internet) sea bloqueado. Estas ACLs son utilizadas por los ISPS para evitar que tráfico privado ingrese a su red.

    Tu solución también funcionaría, pero de nuevo, estarías dejando que tráfico innecesario atraviese la red para ser descartado en el último router.

    Espero haberte ayudado, estoy atento a tus comentarios.

    Saludos! =)

Viendo 5 entradas - de la 1 a la 5 (de un total de 5)
  • Debes estar registrado para responder a este debate.