Verificando tráfico con ACL nombrada pero sin líneas (ACE)

Fecha: 19 de octubre del 2020

 

Escenario

 

En CCNA se aprende que si una ACL asociada una interface se borra (acidentalmente o no), esta queda asociada a la interface

y el router automaticamente se torna “permisivo”.

¿ Pero que pasa si la ACL en vez de borrarse, pierde sus líneas de configuración ? ¿ queda como deny any o permit any ?

Esto sólo sucederá en las ACL nombradas, ya que las numeradas para editarlas es todo/nada (borrar, editar en PC y pegar).

 

A las pruebas nos remitimos. Este lab se realizó con un equipo real para evitar “malentendidos” de Packet Tracer.

 

 

1.- Configuración inicial:

 

1.1.- De las interfaces:

 

Router#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

Router(config)#int fa0/0

Router(config-if)#ip address 192.168.0.1 255.255.255.0

Router(config-if)#no shut

Router(config-if)#int fa0/1

Router(config-if)#no shut

Router(config-if)#ip address 192.168.1.1 255.255.255.0

Router(config-if)#exit

Router(config)#

 

1.2.- Verificación inicial:

 

C:\>ping 192.168.0.1

 

Haciendo ping a 192.168.0.1 con 32 bytes de datos:

Respuesta desde 192.168.0.1: bytes=32 tiempo<1m TTL=255 (TTL=255 lo genera el router y no hay saltos)

Respuesta desde 192.168.0.1: bytes=32 tiempo<1m TTL=255

Respuesta desde 192.168.0.1: bytes=32 tiempo<1m TTL=255

Respuesta desde 192.168.0.1: bytes=32 tiempo<1m TTL=255

 

1.3.- Creamos las ACL:

 

Router(config)#access-list 100 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255

Router(config)#

Router(config)#ip access-list extended FILTRO

Router(config-ext-nacl)#permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255

Router(config-ext-nacl)#exit

Router(config)#

 

1.4.- Verificamos ACL:

 

Router#sh access-list

Extended IP access list 100

    10 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255

Extended IP access list FILTRO

    10 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255

Router#

 

2.- Pruebas con ACL numeradas:

 

2.1.- Asociamos ACL a la interface:

 

Router#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

Router(config)#int fa0/0

Router(config-if)#ip access-group 100 in

Router(config-if)#end

Router#

 

2.2.- Verificamos conectividad:

 

C:\>ping 192.168.1.100

 

Haciendo ping a 192.168.1.100 con 32 bytes de datos:

Respuesta desde 192.168.1.100: bytes=32 tiempo=1ms TTL=127 (TTL=128-1, lo genera el host remoto y hay un salto)

Respuesta desde 192.168.1.100: bytes=32 tiempo=1ms TTL=127

Respuesta desde 192.168.1.100: bytes=32 tiempo=1ms TTL=127

Respuesta desde 192.168.1.100: bytes=32 tiempo=1ms TTL=127

 

2.3.- Verificamos ACL:

 

Router#sh access-list

Extended IP access list 100

    10 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255 (4 matches)

Extended IP access list FILTRO

    10 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255

Router#

 

2.4.- Borramos ACL numerada:

 

Router#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

Router(config)#no access-list 100

Router(config)#end

Router#

 

2.5.- Verificamos ACL:

 

Router#sh access-list  (no existe ACL 100)

Extended IP access list FILTRO

    10 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255

Router#

 

Router#sh runn int fa0/0

Building configuration...

 

Current configuration : 120 bytes

!

interface FastEthernet0/0

 ip address 192.168.0.1 255.255.255.0

 ip access-group 100 in (está asociada a la interface)

 duplex auto

 speed auto

end

 

2.6.- Verificamos conectividad:

 

C:\>ping 192.168.1.100

 

Haciendo ping a 192.168.1.100 con 32 bytes de datos:

Respuesta desde 192.168.1.100: bytes=32 tiempo=1ms TTL=127

Respuesta desde 192.168.1.100: bytes=32 tiempo=1ms TTL=127

Respuesta desde 192.168.1.100: bytes=32 tiempo=1ms TTL=127

Respuesta desde 192.168.1.100: bytes=32 tiempo=1ms TTL=127

 

3.- Pruebas con ACL nombradas:

 

3.1.- Asociamos ACL nombrada a la interface:

 

Router#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

Router(config)#int fa0/0

Router(config-if)#ip access-group FILTRO in

Router(config-if)#end

Router#

 

3.2.- Verificamos conectividad:

 

C:\>ping 192.168.1.100

 

Haciendo ping a 192.168.1.100 con 32 bytes de datos:

Respuesta desde 192.168.1.100: bytes=32 tiempo=1ms TTL=127

Respuesta desde 192.168.1.100: bytes=32 tiempo=1ms TTL=127

Respuesta desde 192.168.1.100: bytes=32 tiempo=1ms TTL=127

Respuesta desde 192.168.1.100: bytes=32 tiempo=2ms TTL=127

 

3.3.- Verificamos ACL:

 

Router#sh access-list

Extended IP access list FILTRO

    10 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255 (4 matches)

Router#

 

3.4.- Borramos línea 10 en ACL nombrada:

 

Router#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

Router(config)#ip access-list extended FILTRO

Router(config-ext-nacl)#no 10

Router(config-ext-nacl)#end

Router#

 

3.5.- Verificamos conectividad:

 

C:\>ping 192.168.1.100

 

Haciendo ping a 192.168.1.100 con 32 bytes de datos:

Respuesta desde 192.168.1.100: bytes=32 tiempo=1ms TTL=127

Respuesta desde 192.168.1.100: bytes=32 tiempo=1ms TTL=127

Respuesta desde 192.168.1.100: bytes=32 tiempo=1ms TTL=127

Respuesta desde 192.168.1.100: bytes=32 tiempo=2ms TTL=127

 

3.6.- Verificamos ACL:

 

Router#sh runn int fa0/0

Building configuration...

 

Current configuration : 123 bytes

!

interface FastEthernet0/0

 ip address 192.168.0.1 255.255.255.0

 ip access-group FILTRO in (está asociada a la interface)

 duplex auto

 speed auto

end

 

Router#sh access-list

Extended IP access list FILTRO (existe pero sin entradas ACE)

Router#

 

16.- Corolario:

 

Una ACL nombrada que esté asociada a una interface, cuando pierde todas sus líneas (ACE) queda en modo “permisiva”,

tal como lo haría una ACL numerada borrada.

 

Atención: cuando reconfiguramos o pegamos las ACL pueden empezar los problemas, recomiendo leer este lab:

 

https://www.vilarrasa.com.ar/pruebas_acl.htm

 

Estos son datos de suma importancia para pasar el examen CCNA o para mantener el empleo.

 

 

(2020) Where do you think you're going

Rosario, Argentina