Ciao a tutti!
Mi trovo in una condizione abbastanza particolare, in cui devo implementare delle ACL su dei 6500 (i quali hanno parecchie interfacce IP). Nel laboratorio di test (3750) ho visto che con le access-list extended riesco con pochissime regole a filtrare il traffico "interessante", cosa che con le classiche ACL extended richiede molte regole applicate su molte interfacce.. Per chiarire un po:
Voglio che l'host A sia raggiungibile solo in http e solo da una particolare subnet, la quale può fare solo quel traffico e solo verso quell'host e non dev'essere raggiunta nè raggiungere nessun'altra rete, eccezion fatta per le risposte del server in questione:
Dynamic
access-list 101 dynamic WWW_PERMIT permit tcp 10.0.0.0 0.0.0.255 host 10.0.7.10 eq www
access-list 101 dynamic CLEAN_UP deny ip any any
Extended
access-list 101 permit tcp 10.0.0.0 0.0.0.255 host 10.0.7.10 eq www
access-list 102 permit tcp host 10.0.7.10 eq www 10.0.0.0 0.0.0.255
interface vlan 5 (quella del server)
ip access-group 101 out
ip access-group 102 in
interface vlan 6 (quella della subnet)
ip access-group 101 in
ip access-group 102 out
In realtà la situazione è molto ma molto più complessa..fatto sta che in laboratorio con le dynamic tutto funziona a meraviglia.. Ci sono controindicazioni ad usarle,secondo voi?
Grazie!
Access-list Dynamic.. si può??
Moderatore: Federico.Lagni
-
Giuseppe
- n00b
- Messaggi: 3
- Iscritto il: lun 16 gen , 2006 10:34 am
- Località: Milano
Anzitutto grazie della risposta 
Mi chiedevo se ci fossero controindicazioni anche di altro tipo: ovunque guardi non trovo scritto altro che cose simili
".. permettono di definire delle access-list che si applicano su base utente. Il router, a fronte di un login da parte di un utente con apposito username e password, attiva una speciale access-list di durata limitata (ad esempio 5 minuti), configurabile a piacere. Una volta che l'utente si autenticato con il router (ad esempio effettuando una connessione telnet al router stesso), il router attiva l'access-list indicata che ha una validità temporale prefissata. Questa access-list, di tipo dinamico, verrà applicata ai pacchetti in transito relativamente all'utente in esame."
da http://netgroup.polito.it
Mi chiedevo se ci fossero controindicazioni anche di altro tipo: ovunque guardi non trovo scritto altro che cose simili
".. permettono di definire delle access-list che si applicano su base utente. Il router, a fronte di un login da parte di un utente con apposito username e password, attiva una speciale access-list di durata limitata (ad esempio 5 minuti), configurabile a piacere. Una volta che l'utente si autenticato con il router (ad esempio effettuando una connessione telnet al router stesso), il router attiva l'access-list indicata che ha una validità temporale prefissata. Questa access-list, di tipo dinamico, verrà applicata ai pacchetti in transito relativamente all'utente in esame."
da http://netgroup.polito.it
