cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
Avisos
¡Bienvenido a la nueva Comunidad de Soporte de Cisco! Nos encantaría conocer su opinión
New Member

Como configurar MACs ACLs y que pasa si se mezclas con otras ACLs normales que no sean MACs ACLs

Hola a todos, 

Mi pregunta es la siguiente, tengo el siguiente laboratorio con varias VLANs:

interface Vlan10
ip address 10.133.1.1 255.255.255.0
ip access-group ACCESO out
!
interface Vlan20
ip address 10.133.2.1 255.255.255.0
!
interface Vlan30
ip address 10.133.3.1 255.255.255.0
!
interface Vlan40
ip address 10.133.4.1 255.255.252.0
!
interface Vlan80
ip address 10.133.8.1 255.255.255.0
!
interface Vlan90
ip address 10.133.90.1 255.255.254.0
!
interface Vlan100
ip address 10.133.100.1 255.255.255.0
!
interface Vlan110
ip address 10.133.110.1 255.255.255.0

Y tengo configurada la siguiente ACL para que nadie pueda llegar a la Vlan 10 Managment que es la de los routers y switches, esta es la ACL que tengo:

ip access-list extended ACCESO
permit ip host 10.133.4.10 10.133.1.0 0.0.0.255
permit ip host 10.133.4.20 10.133.1.0 0.0.0.255
deny ip any 10.133.1.0 0.0.0.255

Esto me funciona sin problema, pero:

Me gustaría que alguien me ayudase, para que en vez de dejar solo acceso a la Vlan 10 a estas 2 IPs 10.133.4.10 y 10.133.4.20, y debido a que estos 2 ordenadores que son el del jefe y el mio, algunas veces no tienen la ip fija porque usamos la wifi corporativa o porque desde casa nos conectamos por la VPN, entiendo que sería mejor usar la MAC de la tarjeta red y de la tarjeta wifi de cada una de los ordenadores, es decir 2 MAC de cada una de las tarjetas, para usarla en la ACL que permita acceso a la Vlan 10, nunca lo he usado y me gustaría que alguien me diga como hacerlo y si esto se puede mezclar con otras ACLs que no sean MACs ACLs

Me gustaría que alguien me indicase que ACL poner para este laboratorio que muestro, es decir alguien que las haya usado y tenga experiencia

Muchas gracias

4 RESPUESTAS
New Member

Hola,

Hola,

Alguien me puede ayudar o aconsejar con esto.

Muchas gracias 

New Member

hola @albertomarcos  

hola albertomarcos  

Siguiendo tu explicación, te recomiendo utilizar un static binding en tu servidor de DHCP para las MAC de tu computadora y la de tu jefe, esta solución es más sencilla que configurar MAC ACL, que además es una característica que no está presente en todos las versiones IOS, pero si tu solución actual te funciona, es más fácil reservar las IP en el servidor de DHCP o utilizar IPO estáticas.

saludos!

CCIE 52804
New Member

Hola lespejel,

Hola lespejel,

Entiendo que lo que quieres decir, es que en el DHCP ponga la ip y mac de mi jefe y la mia como fijas, si es asi se me sigue ocurriendo un problema estos equipos como te comenté, se van a conectar tanto por cable como por wifi que en este caso al tener la ip y la mac fija en el DHCP (por cierto es servidor windows) funcionaría sin problemas, pero donde no funcionaría sería en el caso de conectarme por VPN desde fuera de la oficina ya que lo primero es que antes de conectarme a la vpn estos equipos no pueden tener esta ip fija, porque deberán coger una por dhcp de casa o desde la cafetería u hotel en el que nos encontremos, ¿entiendes?

Muchas gracias

New Member

La solución funciona para

La solución funciona para conexiones locales, y debes autorizar 2 IP para cada computadora, ya que las MAC en una computadora son diferentes para wifi y para Ethernet.

El tema de autorizar la conexión remota también se puede lograr, ya que finalmente tu IP asignada en la VPN es asignada en el proceso, y aunque tengas una IP que te asigna la cafetería, tu computadora va a utilizar la IP asignada por la VPN para comunicarse con tu red interna, eso se logra por el proceso de encripción.

La ip que asignes a tu VPN también puedes configurarla de manera fija, y sería el mismo approach que para el proceso local.

CCIE 52804
88
Visitas
5
ÚTIL
4
Respuestas