Pagina 1 di 2
access list impazzite
Inviato: mar 28 ago , 2007 12:14 pm
da salv83
Ciao a tutti,volevo un'informazione sulle access-list perchè mi stanno facendo impazzire,allora premetto ke lavoro su 2 router cisco 2610 con ios 12.3(15) e uno switch della serie 2900,ho ho creato una rete 190.168.0.0 255.255.255.0
ed una 172.16.50.0 255.255.255.0 non direttamente collegate ma comunicano tra loro via rip,dopo ho creato un'access-list sull'interfaccia 190.168.0.1 in inbound così:
access-list 10 deny 172.16.50.0 0.0.0.255
access-list 10 permit any
naturalemte la assegno all'interfaccia con:
ip access-group 10 in
poi provo a pingare dall'interfaccia 172.16.50.1 all'interfaccia 190.168.0.1 e continua a farmi pingare tranquillamente.........
ma come mai?? se avete bisogno di + info fatemi sapere così mi spiego meglio.Grazie!!!!
Inviato: mar 28 ago , 2007 1:04 pm
da Wizard
Intanto configure la acl in modo esteso poi vedi se la acl matcha...
Inviato: mar 28 ago , 2007 1:13 pm
da salv83
scusami l'ignoranza in che senso matcha??
Inviato: mar 28 ago , 2007 1:15 pm
da Wizard
sh fai "sh access-l xxx" vedi i match x ogni riga di acl
Inviato: mar 28 ago , 2007 1:28 pm
da salv83
ok allora:
10 deny 172.16.50.0 wildcard bits 0.0.0.255
20 permit any (180matches)
Inviato: mar 28 ago , 2007 1:29 pm
da salv83
ok allora:
10 deny 172.16.50.0 wildcard bits 0.0.0.255
20 permit any (180matches)
cioè praticamente il permit any mi fa passare tutto?Cmq ho provato anche a levare il permit any così ce il deny any implicito che dovrebbe bloccare tutto ma non cambia niente!!!!!!!!!
Inviato: mar 28 ago , 2007 1:37 pm
da Wizard
Codice: Seleziona tutto
no access-l 10
access-l 110 deny ip 192.168.0.0 0.0.0.255 172.16.50.0 0.0.0.255
access-l 110 permit p 192.168.0.0 0.0.0.255 any
Poi applicala alla interfaccia eth del router
Inviato: mar 28 ago , 2007 1:50 pm
da salv83
fatto comunque è 190.168.0.0 non 192.168.0.0 giusto?
non funzionano come mi hai detto tu.
Inviato: mar 28 ago , 2007 1:56 pm
da andrewp
Tu neghi in inbound una classe IP che ti esce in outbound dalla eth...
Inviato: mar 28 ago , 2007 1:56 pm
da Wizard
Si, scusa, le reti mettile a posto.
Inviato: mar 28 ago , 2007 1:59 pm
da salv83
ALLORA continua a matcharmi la seconda riga quella del permit any......
cmq ho provato pure a cambiare la re 172.16.40.0 in 170.16.0.0 per evitare conflitti ip ma non cambia niente...........
Inviato: mar 28 ago , 2007 2:03 pm
da Wizard
Mhm...prova a farci vedere la config completa...
Inviato: mar 28 ago , 2007 2:16 pm
da salv83
router1
Current configuration : 913 bytes
!
version 12.3
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname toti
!
boot-start-marker
boot-end-marker
!
enable password cisco
!
memory-size iomem 10
no aaa new-model
ip subnet-zero
ip cef
!
!
!
!
!
!
!
interface Ethernet0/0
ip address 190.168.0.1 255.255.255.0
ip access-group 110 in
half-duplex
!
interface Serial0/0
ip address 170.16.0.1 255.255.255.0
no ip mroute-cache
clock rate 56000
no fair-queue
!
interface Serial0/1
no ip address
!
router rip
network 170.16.0.0
network 190.168.0.0
!
no ip http server
ip classless
!
!
access-list 110 deny ip 190.168.0.0 0.0.0.255 172.16.50.0 0.0.0.255
access-list 110 permit ip 190.168.0.0 0.0.0.255 any
banner login ^CC Attenzione accesso consentito solo agli autorizzati!!!! ^C
banner motd ^CC Attenzione siete nel router TOTI! ^C
!
line con 0
line aux 0
line vty 0 4
password cisco
login
!
!
end
Router2
urrent configuration : 760 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname toti2
!
boot-start-marker
boot-end-marker
!
enable password cisco
!
no aaa new-model
ip subnet-zero
ip cef
!
!
!
!
!
!
!
interface Ethernet0/0
ip address 172.16.50.1 255.255.255.0
half-duplex
!
interface Serial0/0
no ip address
shutdown
!
interface BRI0/0
no ip address
shutdown
!
interface Serial0/1
ip address 170.16.0.2 255.255.255.0
!
router rip
network 170.16.0.0
network 172.16.0.0
!
no ip http server
ip classless
!
!
banner login ^C Attenzione accesso consentito solo agli autorizzati!!!! ^C
banner motd ^C Attenzione siete nel router TOTI2! ^C
!
line con 0
line aux 0
line vty 0 4
password cisco
login
!
!
end
Ho già sostituito la rete 172.16.40.0 con 170.16.0.0 in queste sh runn !
Inviato: mer 29 ago , 2007 12:07 am
da salv83
potrebbe essere un problema di ios?comunque conviene sempre salvare e riavviare quando si creano delle acl o cmq dovrebbero funzionare lo stesso?
Inviato: mer 29 ago , 2007 7:17 am
da accapoebasta
....poi provo a pingare dall'interfaccia 172.16.50.1 all'interfaccia 190.168.0.1 e continua a farmi pingare tranquillamente....
se ho capito bene tu dalla net 172.16.50.0/24 non vuoi raggiungere la 190.168.0.0/24;
se è così la acl la devi applicare sulla eth del router toti2 in IN
in generale le acl per lavorare bene vanno applicate il + vicino possibile alla sorgente del traffico da matchare.