CiscoForums.it

salve a tutti
Su di un pix 515 ho configurato dei network object group per dividerli per l'accesso ad internet.
Non ho potuto creare delle sotto reti per la divisione in quanto la rete è una 10.1.x.x/16,con i client che devono essere divisi tra chi va su internet (10.1.10.x) e chi no va (10.1.11.x).Quindi sono impossibilitato a creare delle access list con i seguenti parametri:
access-list acl-in permit tcp 10.1.10.0 255.255.255.0 any eq www
Nel senso che credo che non sia una cosa fattibile.


Non sò conoscete qualche alternativa ?
Grazie

scusami probabilmente non ho capito, perche' non subnettare?

10.1.10.x/24 rete abilitata ad uscire fuori
10.1.11.x/24 rete non abilitata ad uscire fuori.

magari con suddivisione in vlan e gestione via acl, in modo che chi e' a conoscenza della distinzione tra 10.1.10.x e 10.1.11.x, anche se si cambia l'ip rimane in ogni caso bloccato e non naviga. (per via delle vlan).

ciao

ti ringrazio per la risposta velocissimaaa...
Ma il discorso è che l'indirizzo dell'inside del Pix è 10.1.3.40/16
...

non conosco molto bene gli asa, non ancora ci metto mano...

quante interfacce ha? non puoi cambiare quell'indirizzo? Non hai a disposizione altri apparati? (magari degli switch multilayer).

Ma credo che sia comune, nel senso che credo che sia un discorso di networking in generale:se io maschero quelle reti con un /24 chi sta sopra non lo vede,e viceversa..
o mi sbaglio?
a meno che non si creino altre regole che stabiliscono che quelle reti si debbano parlare,ma il problema è che dall'interfaccia inside alla lan avremmo 2 ordini di grandezza di subnet differente,quindi la regola dove l'applichiamo se già in entrata abbiamo il problema?

Grazie

si potrebbe usare un secondary address sull'interfaccia.. ma rimane esclusa cmq una rete.

hai solo quel pix a disposizione?