Verificando tráfico con ACL nombrada
pero sin líneas (ACE)
Fecha: 19 de octubre del 2020
Escenario
En CCNA se aprende que si una ACL asociada una interface se borra (acidentalmente o no), esta queda asociada a la interface
y el router automaticamente se torna “permisivo”.
¿ Pero que pasa si la ACL en vez de borrarse, pierde sus líneas de configuración ? ¿ queda como deny any o permit any ?
Esto sólo sucederá en las ACL
nombradas, ya que las numeradas para editarlas es todo/nada (borrar, editar en
PC y pegar).
A las pruebas nos remitimos. Este lab se realizó con un equipo real para evitar “malentendidos” de Packet Tracer.
1.- Configuración inicial:
1.1.- De las interfaces:
Router#conf
t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#int fa0/0
Router(config-if)#ip address 192.168.0.1 255.255.255.0
Router(config-if)#no shut
Router(config-if)#int fa0/1
Router(config-if)#no shut
Router(config-if)#ip address 192.168.1.1 255.255.255.0
Router(config-if)#exit
Router(config)#
1.2.- Verificación inicial:
C:\>ping 192.168.0.1
Haciendo ping a 192.168.0.1 con 32 bytes de datos:
Respuesta desde 192.168.0.1: bytes=32 tiempo<1m TTL=255 (TTL=255 lo genera el router y no hay saltos)
Respuesta desde 192.168.0.1: bytes=32 tiempo<1m TTL=255
Respuesta desde 192.168.0.1: bytes=32 tiempo<1m TTL=255
Respuesta desde 192.168.0.1: bytes=32 tiempo<1m TTL=255
1.3.-
Creamos las ACL:
Router(config)#access-list 100 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
Router(config)#
Router(config)#ip access-list extended FILTRO
Router(config-ext-nacl)#permit ip 192.168.0.0 0.0.0.255 192.168.1.0
0.0.0.255
Router(config-ext-nacl)#exit
Router(config)#
1.4.-
Verificamos ACL:
Router#sh
access-list
Extended IP access list 100
10
permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
Extended IP access list FILTRO
10
permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
Router#
2.- Pruebas con ACL numeradas:
2.1.- Asociamos ACL a la interface:
Router#conf
t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#int fa0/0
Router(config-if)#ip access-group 100 in
Router(config-if)#end
Router#
2.2.- Verificamos conectividad:
C:\>ping 192.168.1.100
Haciendo ping a 192.168.1.100 con 32 bytes de datos:
Respuesta desde 192.168.1.100: bytes=32 tiempo=1ms TTL=127 (TTL=128-1, lo genera el host remoto y hay un salto)
Respuesta desde 192.168.1.100: bytes=32 tiempo=1ms TTL=127
Respuesta desde 192.168.1.100: bytes=32 tiempo=1ms TTL=127
Respuesta desde 192.168.1.100: bytes=32 tiempo=1ms TTL=127
2.3.-
Verificamos ACL:
Router#sh
access-list
Extended IP access list 100
10
permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255 (4 matches)
Extended IP access list FILTRO
10
permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
Router#
2.4.- Borramos ACL numerada:
Router#conf t
Enter configuration commands, one per
line. End with CNTL/Z.
Router(config)#no access-list 100
Router(config)#end
Router#
2.5.-
Verificamos ACL:
Router#sh
access-list (no existe ACL 100)
Extended IP access list FILTRO
10
permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
Router#
Router#sh
runn int fa0/0
Building configuration...
Current configuration :
120 bytes
!
interface FastEthernet0/0
ip address 192.168.0.1 255.255.255.0
ip access-group 100
in (está asociada a la interface)
duplex auto
speed auto
end
2.6.- Verificamos conectividad:
C:\>ping 192.168.1.100
Haciendo ping a 192.168.1.100 con 32 bytes de datos:
Respuesta desde 192.168.1.100: bytes=32 tiempo=1ms TTL=127
Respuesta desde 192.168.1.100: bytes=32 tiempo=1ms TTL=127
Respuesta desde 192.168.1.100: bytes=32 tiempo=1ms TTL=127
Respuesta desde 192.168.1.100: bytes=32 tiempo=1ms TTL=127
3.- Pruebas con ACL nombradas:
3.1.- Asociamos ACL nombrada a la interface:
Router#conf
t
Enter configuration commands, one per
line. End with CNTL/Z.
Router(config)#int fa0/0
Router(config-if)#ip access-group FILTRO in
Router(config-if)#end
Router#
3.2.- Verificamos conectividad:
C:\>ping 192.168.1.100
Haciendo ping a 192.168.1.100 con 32 bytes de datos:
Respuesta desde 192.168.1.100: bytes=32 tiempo=1ms TTL=127
Respuesta desde 192.168.1.100: bytes=32 tiempo=1ms TTL=127
Respuesta desde 192.168.1.100: bytes=32 tiempo=1ms TTL=127
Respuesta desde 192.168.1.100: bytes=32 tiempo=2ms TTL=127
3.3.-
Verificamos ACL:
Router#sh
access-list
Extended IP access list FILTRO
10
permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255 (4 matches)
Router#
3.4.- Borramos línea 10 en ACL nombrada:
Router#conf
t
Enter configuration commands, one per
line. End with CNTL/Z.
Router(config)#ip access-list extended FILTRO
Router(config-ext-nacl)#no 10
Router(config-ext-nacl)#end
Router#
3.5.- Verificamos conectividad:
C:\>ping 192.168.1.100
Haciendo ping a 192.168.1.100 con 32 bytes de datos:
Respuesta desde 192.168.1.100: bytes=32 tiempo=1ms TTL=127
Respuesta desde 192.168.1.100: bytes=32 tiempo=1ms TTL=127
Respuesta desde 192.168.1.100: bytes=32 tiempo=1ms TTL=127
Respuesta desde 192.168.1.100: bytes=32 tiempo=2ms TTL=127
3.6.-
Verificamos ACL:
Router#sh
runn int fa0/0
Building configuration...
Current configuration :
123 bytes
!
interface FastEthernet0/0
ip address 192.168.0.1 255.255.255.0
ip access-group
FILTRO in (está asociada a la interface)
duplex auto
speed auto
end
Router#sh
access-list
Extended IP access list FILTRO (existe pero sin entradas ACE)
Router#
16.- Corolario:
Una ACL nombrada que esté asociada a una interface, cuando pierde todas sus líneas (ACE) queda en modo “permisiva”,
tal como lo haría una ACL numerada borrada.
Atención: cuando reconfiguramos o pegamos las ACL pueden empezar los problemas, recomiendo leer este lab:
https://www.vilarrasa.com.ar/pruebas_acl.htm
Estos son datos de suma importancia para pasar el examen CCNA o para mantener el empleo.
(2020) Where do you think you're going ♫
Rosario, Argentina