desideravo porvi un quesito, ho un router Cisco 867VAE (non sec k9) ed avrei l'esigenza tramite delle acl o altro comando di restringere il traffico di un solo ip connesso su una delle 4 porte FastEthernet
in pratica, il router cisco ha ip locale 192.168.0.220 ed è connesso ad internet
sulla porta FastEthernet0 ho collegato un airport- express per una rete guest configurato in nat-dhcp con ip locale 192.168.0.230
quindi, la mappa di rete è la seguente:
(device ospite 172.16.0.X tramite dhcp airport) NAT-> (Ip locale airport dove esce tutto il traffico nattato 192.168.0.230) -> (router cisco 192.168.0.220) -> (internet)
in questo modo tutti i dispositivi connessi tramite dhcp dell'airport 172.16.x vengono nattati su 192.168.0.230
se dai pc della classe 192.168.0.x provo a raggiungere i dispositivi collegati in wifi 172.16.x naturalmente non li ragiungo, ma se faccio il contrario dai dispositivi wifi 172.16.x al 192.168.x si
la domanda è posso fare in modo che l'ip dell'airport dove passa tutto il traffico nattato (192.168.0.230) veda solo l'ip del router 192.168.0.220 (che mi serve per navigare) e bloccare tutto il resto
avevo pensato di fare cosi ma non so se posso mettere una acl sull'interfaccia fisica
ip access-list extended ap-ospiti
deny ip 192.168.0.0 255.255.255.0 192.168.0.255 255.255.255.0
permit ip 192.168.1.220 255.255.255.0 any
int FastEthernet0
ip access-group ap-ospiti in