Salve a tutti
ecco il mio scenario:
Su uno switch cisco ho definito varie Vlan e ad ognuna di queste ho assegnato una sottorete.
Poniamo il caso di avere
Vlan1 ip address 10.3.0.3 255.255.0.0
Vlan2 ip address 10.1.0.3 255.255.0.0
Il mio obbiettivo è quello di limitare tutto il traffico in entrata nella Vlan1 e definisco una regola:
ip access-list extended ACL1
permit tcp 10.1.0.0 0.0.255.255 host 10.3.0.10 eq 80
deny ip any any
Il mio obbiettivo è quello di permettere soloo all'host 10.3.0.10 della Vlan1 di fare traffico http sulla Vlan2 e di negare tutto il resto.
Applico la regola alla Vlan in questo modo:
Vlan1
ip address 10.3.0.3 255.255.0.0
ip access-group ACL1 out
Quello che non mi convince è il fatto di dover applciare la regola con la sintassi out.
E' corretto quello che ho fatto?
Qualsiasi suggerimento è veramente ben accetto. Grazie a tutti
ip access-group: in o out ?
Moderatore: Federico.Lagni
- spooke
- Cisco enlightened user
- Messaggi: 136
- Iscritto il: sab 05 mar , 2005 10:18 pm
- Località: Milano
- Contatta:
-
- n00b
- Messaggi: 17
- Iscritto il: dom 29 ago , 2010 10:11 pm
- Località: Ardea
- Contatta:
La tua configurazione permette a tutti gli hosts della VLAN1 di fare http sul solo host 10.3.0.3 della Vlan 2 (il traffico su protocolli diversi o verso altri IP della vlan 1 sarà droppato).
Se è questo che volevi ottenere la configurazione è corretta; per quanto riguarda il verso di una ACL devi considerare il verso del pacchetto IP; nel nostro caso i pacchetti saranno originati da un host situato in vlan 2 , transiteranno per lo switch e saranno consegnati sulla vlan1.
Ne consegue che i pacchetti entrano sullo switch dalla vlan 2 ed escono dallo switch sulla vlan 1. Per questo nella configurazione della vlan1 devi inserire ip access-group xx out.
Ciao.
PS a breve sul sito in firma troverai una sezione dedicata alle ACL.
Se è questo che volevi ottenere la configurazione è corretta; per quanto riguarda il verso di una ACL devi considerare il verso del pacchetto IP; nel nostro caso i pacchetti saranno originati da un host situato in vlan 2 , transiteranno per lo switch e saranno consegnati sulla vlan1.
Ne consegue che i pacchetti entrano sullo switch dalla vlan 2 ed escono dallo switch sulla vlan 1. Per questo nella configurazione della vlan1 devi inserire ip access-group xx out.
Ciao.
PS a breve sul sito in firma troverai una sezione dedicata alle ACL.
www.ccnaitalia.altervista.org : La guida in lingua italiana alla certificazione Cisco CCNA 640-802.
---------------------------------------------------------------------------------------------------
Chi sa fa, chi non sa .. fa fa!
---------------------------------------------------------------------------------------------------
Chi sa fa, chi non sa .. fa fa!