A ACL simples não funciona

1

Rede: Cisco 2921. Duas sub-redes. 192.168.1.0/24 e 2.0 / 24.

Por algum motivo, não consigo comunicação entre sub-redes.

Eu limitei uma ACL com as seguintes instruções à interface de entrada de cada sub-rede.

Em Gi0 / 0 (1.0 / 24) eu apliquei "access-list 101 allow ip 192.168.2.0 0.0.0.255 any" na interface de entrada.

Em Gi0 / 1 (2.0 / 24) eu apliquei "access-list 102 allow ip 192.168.1.0 0.0.0.255 any" na interface de entrada.

Quando fiz isso, o DHCP parou de funcionar, assim como a Internet às vezes, então eu os excluía.

Eu fiz isso no packet-tracer e funcionou 100%. Por que não está funcionando no roteador real?

Configuração em execução:

Current configuration : 2608 bytes
!
! Last configuration change at 15:22:51 UTC Mon Feb 18 2013
! NVRAM config last updated at 17:41:03 UTC Sun Feb 17 2013
! NVRAM config last updated at 17:41:03 UTC Sun Feb 17 2013
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 xxxxxx
enable password xxxxxx
!
no aaa new-model
!
no ipv6 cef
ip source-route
ip cef
!
!
!
ip dhcp excluded-address 192.168.2.1
ip dhcp excluded-address 192.168.2.1 192.168.2.99
ip dhcp excluded-address 192.168.2.1 192.168.2.50
!
ip dhcp pool DHCP_POOL
 network 192.168.2.0 255.255.255.0
 default-router 192.168.2.1
 dns-server 8.8.8.8
 domain-name subnet2.local
!
!
ip name-server 8.8.8.8
ip name-server 8.8.4.4
multilink bundle-name authenticated
!
!
!
!
!
crypto pki token default removal timeout 0
!
!
voice-card 0
!
!
!
!
!
!
!
license udi pid CISCO2921/K9 sn FTX1703AHBN
hw-module pvdm 0/0
!
!
!
!
redundancy
!
!
ip ftp username xxxxxxx
ip ftp password xxxxx
!
!
!
!
interface Embedded-Service-Engine0/0
 no ip address
 shutdown
!
interface GigabitEthernet0/0
 ip address 192.168.1.1 255.255.255.0
 ip access-group 5 out
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto
 no mop enabled
!
interface GigabitEthernet0/1
 ip address 192.168.2.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface GigabitEthernet0/2
 ip address xxxxxxxxxxx 255.255.255.248
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip nat inside source list 1 interface GigabitEthernet0/2 overload
ip nat inside source list 2 interface GigabitEthernet0/2 overload
ip route 0.0.0.0 0.0.0.0 108.162.28.169
ip route 192.168.1.0 255.255.255.0 GigabitEthernet0/0
ip route 192.168.2.0 255.255.255.0 GigabitEthernet0/1
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 2 permit 192.168.2.0 0.0.0.255
access-list 3 permit 192.168.2.0 0.0.0.255
access-list 3 permit 192.168.1.0 0.0.0.255
access-list 4 permit 192.168.1.0 0.0.0.255
access-list 5 permit any
access-list 101 permit ip 192.168.2.0 0.0.0.255 any
!
!
!
control-plane
!
!
!
!
mgcp profile default
!
!
!
!
!
gatekeeper
 shutdown
!
!
!
line con 0
line aux 0
line 2
 no activation-character
 no exec
 transport preferred none
 transport input all
 transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
 stopbits 1
line vty 0 4
 password ********
 login
 transport input all
!
scheduler allocate 20000 1000
end
    
por Copy Run Start 18.02.2013 / 16:37

1 resposta

2

Acredito que você esteja misturando o conceito de entrada e saída em sua ACL.

Se a interface GigabitEthernet0 / 0 tiver a sub-rede 192.168.1.0/24 por trás dela, para permitir que o tráfego vá para a outra interface, você adicionará a seguinte ACL em GigabitEthernet0 / 0 e vice-versa.

access-list 101 permit ip 192.168.1.0 0.0.0.255 any

access-list 102 permit ip 192.168.2.0 0.0.0.255 any

A mesma coisa pode ser alcançada (e seria mais segura) restringindo onde o tráfego pode ir.

access-list 101 permit ip any 192.168.2.0 0.0.0.255

access-list 102 permit ip any 192.168.1.0 0.0.0.255

Se você usar a ACL acima, ambas as redes por trás de ambas as interfaces só poderão se comunicar ... é isso.

Em seguida, na configuração GigabitEthernet0 / 0:

ip access-group 101 in

E no GigabitEthernet0 / 1:

ip access-group 102 in

Entrada e saída são sempre baseadas em qual interface o pacote atingirá primeiro.

Para entender melhor ao lidar com a ACL e o problema de entrada / saída, finja que você é o roteador e / ou o firewall.

Você (o roteador) permite que pacotes cheguem até você com o IP 192.168.1.10 na interface SEU Gi0 / 0?

Sim, as ACLs nessa interface permitem isso;

access-list 101 permit ip 192.168.1.0 0.0.0.255 any

ou

access-list 101 permit ip any 192.168.2.0 0.0.0.255

Se você tivesse sua ACL definida em Saída, a pergunta seria:

Você permite que os pacotes 192.168.1.10 deixem sua interface Gi0 / 0?

Depois que você permitir esse tráfego, não será necessário adicionar ACLs na interface de destino quando os dois estiverem no mesmo dispositivo.

    
por 18.02.2013 / 19:23