Access-list Dynamic.. si può??
Inviato: mer 01 feb , 2006 10:23 am
Ciao a tutti!
Mi trovo in una condizione abbastanza particolare, in cui devo implementare delle ACL su dei 6500 (i quali hanno parecchie interfacce IP). Nel laboratorio di test (3750) ho visto che con le access-list extended riesco con pochissime regole a filtrare il traffico "interessante", cosa che con le classiche ACL extended richiede molte regole applicate su molte interfacce.. Per chiarire un po:
Voglio che l'host A sia raggiungibile solo in http e solo da una particolare subnet, la quale può fare solo quel traffico e solo verso quell'host e non dev'essere raggiunta nè raggiungere nessun'altra rete, eccezion fatta per le risposte del server in questione:
Dynamic
access-list 101 dynamic WWW_PERMIT permit tcp 10.0.0.0 0.0.0.255 host 10.0.7.10 eq www
access-list 101 dynamic CLEAN_UP deny ip any any
Extended
access-list 101 permit tcp 10.0.0.0 0.0.0.255 host 10.0.7.10 eq www
access-list 102 permit tcp host 10.0.7.10 eq www 10.0.0.0 0.0.0.255
interface vlan 5 (quella del server)
ip access-group 101 out
ip access-group 102 in
interface vlan 6 (quella della subnet)
ip access-group 101 in
ip access-group 102 out
In realtà la situazione è molto ma molto più complessa..fatto sta che in laboratorio con le dynamic tutto funziona a meraviglia.. Ci sono controindicazioni ad usarle,secondo voi?
Grazie!
Mi trovo in una condizione abbastanza particolare, in cui devo implementare delle ACL su dei 6500 (i quali hanno parecchie interfacce IP). Nel laboratorio di test (3750) ho visto che con le access-list extended riesco con pochissime regole a filtrare il traffico "interessante", cosa che con le classiche ACL extended richiede molte regole applicate su molte interfacce.. Per chiarire un po:
Voglio che l'host A sia raggiungibile solo in http e solo da una particolare subnet, la quale può fare solo quel traffico e solo verso quell'host e non dev'essere raggiunta nè raggiungere nessun'altra rete, eccezion fatta per le risposte del server in questione:
Dynamic
access-list 101 dynamic WWW_PERMIT permit tcp 10.0.0.0 0.0.0.255 host 10.0.7.10 eq www
access-list 101 dynamic CLEAN_UP deny ip any any
Extended
access-list 101 permit tcp 10.0.0.0 0.0.0.255 host 10.0.7.10 eq www
access-list 102 permit tcp host 10.0.7.10 eq www 10.0.0.0 0.0.0.255
interface vlan 5 (quella del server)
ip access-group 101 out
ip access-group 102 in
interface vlan 6 (quella della subnet)
ip access-group 101 in
ip access-group 102 out
In realtà la situazione è molto ma molto più complessa..fatto sta che in laboratorio con le dynamic tutto funziona a meraviglia.. Ci sono controindicazioni ad usarle,secondo voi?
Grazie!
