Buongiorno, premetto che sono alle prime armi con i router Cisco, così vi chiedo di avere un po' di pazienza.
La teoria la maneggio abbastanza, ma c'è una cosa delle access-list che non mi è del tutto chiara.
Nel momento in cui io l'ho creata, su quale interfaccia mi conviene applicarla?
In azienda abbiamo un 837 e una linea atm.
Grazie
837 access-lists - alle prime armi!
Moderatore: Federico.Lagni
-
Asimov
- Cisco fan
- Messaggi: 39
- Iscritto il: lun 22 mar , 2004 11:22 am
- Località: Cividale
Ciao,
diciamo che la teoria vorrebbe che tu mettessi le access-list più vicine alla sorgente dei dati.
Le casistiche sono però le più varie anche per un semplice border router come nel caso specifico.
Un paio di suggerimenti, quindi:
quando filtri il traffico in entrata, una access-list applicata all'interfaccia atm viene analizzata in una fase simile al prerouting, quindi ancora non conosce la sua vera destinazione. In questa fase, un'access-list estesa con match della destinazione, non funziona un gran che. Meglio applicarvi quindi tutte le acl da considerare generiche. Io normalmente vi applico una policy di permit con il deny delle porte che SICURAMENTE non devono arrivare.
In linea di massima, quindi, per il traffico entrante, applicherai le acl all'out dell'ethernet con una policy di deny e il permit dove serve.
Spero di essere stato di aiuto!
diciamo che la teoria vorrebbe che tu mettessi le access-list più vicine alla sorgente dei dati.
Le casistiche sono però le più varie anche per un semplice border router come nel caso specifico.
Un paio di suggerimenti, quindi:
quando filtri il traffico in entrata, una access-list applicata all'interfaccia atm viene analizzata in una fase simile al prerouting, quindi ancora non conosce la sua vera destinazione. In questa fase, un'access-list estesa con match della destinazione, non funziona un gran che. Meglio applicarvi quindi tutte le acl da considerare generiche. Io normalmente vi applico una policy di permit con il deny delle porte che SICURAMENTE non devono arrivare.
In linea di massima, quindi, per il traffico entrante, applicherai le acl all'out dell'ethernet con una policy di deny e il permit dove serve.
Spero di essere stato di aiuto!
