CiscoForums.it

Ciao Ragazzi ,

Ho un problema con delle acl.

Queste acl sono applicate sotto le interface vlan mettendo ip access-group 127 out

vi posto un esempio delle mie acl.

access-list 128 permit ip 192.168.54.0 0.0.0.255 172.16.28.0 0.0.0.255
access-list 128 permit ip 192.168.54.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 128 deny ip 192.168.54.0 0.0.0.255 172.16.10.0 0.0.0.255
access-list 128 deny ip 192.168.54.0 0.0.0.255 192.168.0.0 0.0.255.255
access-list 128 permit ip any any

Io applicando queste acl se pingo il 172.16.10.10 lo raggiungo lo stesso , ma non li devo raggiungere in realtà.

Help meee

Grazie

l'ip access-group era un esempio in questo caso metto la 128 ma non 127.

Grazie Ancora

Servono maggiori dettagli:
-Da dove stai pingando ?
-se fai un tracert da dove ti passa il pacchetto ?
-ci sono particolarità sulla conf ?

Rizio

Ciao,

Io sto pingando dal 192.168.28.2 verso 172.16.10.10 e il ping passa, forse per bloccare il ping devo mettere un deny icmp??
No Non ci sono particolari configurazioni.

Grazie Mille

scusa ma io sto pingando da 192.168.54.2

mstrz ha scritto:scusa ma io sto pingando da 192.168.54.2

Quello e', per caso, il router?

no allora 172.16.10.1 è il core ,

Mentre il 172.16.10.10 è uno switch di piano, che io in teoria non dovrei raggiungero o almeno credo.

mstrz ha scritto:scusa ma io sto pingando da 192.168.54.2

ecco perchè passa:

access-list 128 permit ip 192.168.54.0 0.0.0.255 172.16.28.0 0.0.0.255
access-list 128 permit ip 192.168.54.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 128 deny ip 192.168.54.0 0.0.0.255 172.16.10.0 0.0.0.255
access-list 128 deny ip 192.168.54.0 0.0.0.255 192.168.0.0 0.0.255.255
access-list 128 permit ip any any


l'access list legge dalla prima all'ultima e si ferma se c'è un match, indipendentemente se raggiunge la fine.

dovresti mettere tutte le regole con le più dettagliate all'inizio

Ma il problema è che non matchano con i deny anche se li metto per primi, io raggiungo lo stesso quelle network, perchè c'è il permit ip any any , se lo tolgo inoltre non mi fa andare su internet.



access-list 128 deny ip 192.168.54.0 0.0.0.255 172.16.10.0 0.0.0.255
access-list 128 deny ip 192.168.54.0 0.0.0.255 192.168.0.0 0.0.255.255
access-list 128 permit ip 192.168.54.0 0.0.0.255 172.16.28.0 0.0.0.255
access-list 128 permit ip 192.168.54.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 128 permit ip any any

mstrz ha scritto:Ma il problema è che non matchano con i deny anche se li metto per primi, io raggiungo lo stesso quelle network, perchè c'è il permit ip any any , se lo tolgo inoltre non mi fa andare su internet.



access-list 128 deny ip 192.168.54.0 0.0.0.255 172.16.10.0 0.0.0.255
access-list 128 deny ip 192.168.54.0 0.0.0.255 192.168.0.0 0.0.255.255
access-list 128 permit ip 192.168.54.0 0.0.0.255 172.16.28.0 0.0.0.255
access-list 128 permit ip 192.168.54.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 128 permit ip any any

1) ovvio che non matcha i deny.. ti ricordo che le access list lavorano in sequenza dalla prima all'ultima e si fermano appena trovano un match. nel caso di prima, il tuo PERMIT faceva il match PRIMA del deny. Te lo avevo evidenziato in grassetto.

2) la access list da sola non serve, bisogna vedere DOVE la applichi insieme alla DIREZIONE.. senza queste informazioni non è possibile capire che succede

Io le acl sono applicate sotto interface vlan , in access-group 128 out

Si ma io volevo dire che ho messo prima i deny ma non lo metcha, lo stesso il traffico passa , forse per quel permit ip any any??

Nessuno mi puo dare una mano??

posta uno "show ip int brief" per avere una idea di come il router è collegato ai vari networks..

Ragazzi sembra strano ma mettendo sotto l'interfaccia della vlan l'acl in IN ora va meglio.

Grazie per la collaborazione