Acl e class-map -- esclusione IP
Inviato: lun 28 feb , 2011 1:32 pm
Buon pomerriggio a tutti.
Espongo il seguente problema "sperando" in un'anima buona che possa darmi qualche dritta.
Sono un novello, quindi chiedo un po di pazienza.
Ho creauto una class-map di questo tipo:
Router(config)#class-map match-any INHIBITED
Router(config-cmap)#match protocol http url “*social network*”
Router(config-cmap)#match protocol http url “*facebook*”
Router(config-cmap)#match protocol http host “*.facebook.*”
Router(config-cmap)#exit
Una policy map tipo:
Router(config)#policy-map FILTER-INHIBITED
Router(config-pmap)#class INHIBITED
Router(config-pmap)#set ip dscp 1
Router(config-pmap)#exit
Ed infine:
Router(config)#access-list 105 deny ip any any dscp 1 log
Router(config)#access-list 105 permit ip any any
Ovviamente:
Router(config)#interface ATM 0
Router(config-if)#service-policy input FILTER-INHIBITED
.....
Router(config-if)#exit
e:
Router(config)#interface fastethernet 0/0
Router(config-if)#ip access-group 105 in
.....
Router(config-if)#exit
DOMANDA:
devo poter escludere dagli indirizzi ip (statici) quelli riservati agli amministratori di sistema: nel mio caso questi hanno ip 192.168.0.70 ed 192.168.0.71 ( due computer distinti )
Come posso modificare le access list?
Potrebbe andar bene tale soluzione?
Router(config)#access-list 105 deny ip any 192.168.0.70 0.0.0.1 dscp 1 log
Router(config)#access-list 105 deny ip any any dscp 1 log
Router(config)#access-list 105 permit ip any any
Come posso combinare ed in quale ordine impostare le "classiche" acces-list tipo AntiSpoofing?:
no access-list 105
access-list 105 dany ip host 0.0.0.0 any log
access-list 105 dany ip 127.0.0.0 0.255.255.255 any log
access-list 105 dany ip 10.0.0.0 0.255.255.255 any log
access-list 105 dany ip 172.16.0.0 0.15.255.255 any log
access-list 105 dany ip 192.168.0.0 0.0.255.255 any log
access-list 105 dany ip any any
Grazie
Saluti
Espongo il seguente problema "sperando" in un'anima buona che possa darmi qualche dritta.
Sono un novello, quindi chiedo un po di pazienza.
Ho creauto una class-map di questo tipo:
Router(config)#class-map match-any INHIBITED
Router(config-cmap)#match protocol http url “*social network*”
Router(config-cmap)#match protocol http url “*facebook*”
Router(config-cmap)#match protocol http host “*.facebook.*”
Router(config-cmap)#exit
Una policy map tipo:
Router(config)#policy-map FILTER-INHIBITED
Router(config-pmap)#class INHIBITED
Router(config-pmap)#set ip dscp 1
Router(config-pmap)#exit
Ed infine:
Router(config)#access-list 105 deny ip any any dscp 1 log
Router(config)#access-list 105 permit ip any any
Ovviamente:
Router(config)#interface ATM 0
Router(config-if)#service-policy input FILTER-INHIBITED
.....
Router(config-if)#exit
e:
Router(config)#interface fastethernet 0/0
Router(config-if)#ip access-group 105 in
.....
Router(config-if)#exit
DOMANDA:
devo poter escludere dagli indirizzi ip (statici) quelli riservati agli amministratori di sistema: nel mio caso questi hanno ip 192.168.0.70 ed 192.168.0.71 ( due computer distinti )
Come posso modificare le access list?
Potrebbe andar bene tale soluzione?
Router(config)#access-list 105 deny ip any 192.168.0.70 0.0.0.1 dscp 1 log
Router(config)#access-list 105 deny ip any any dscp 1 log
Router(config)#access-list 105 permit ip any any
Come posso combinare ed in quale ordine impostare le "classiche" acces-list tipo AntiSpoofing?:
no access-list 105
access-list 105 dany ip host 0.0.0.0 any log
access-list 105 dany ip 127.0.0.0 0.255.255.255 any log
access-list 105 dany ip 10.0.0.0 0.255.255.255 any log
access-list 105 dany ip 172.16.0.0 0.15.255.255 any log
access-list 105 dany ip 192.168.0.0 0.0.255.255 any log
access-list 105 dany ip any any
Grazie
Saluti
).