Salve a tutti,
quando creo una ACL per permettere il traffico tra due LAN collegate da una VPN di solito si scrive per es.:
access-list 101 permit ip a.b.c.d x.x.x.y e.f.g.h x.x.y.y
così facendo permetto tutto il traffico tra le due reti.
Se volessi che una rete veda tutto e l'altra solo alcuni servizi devo agire su questa ACL e sostituire ip con le varie voci legate al tcp?
O devo creare altre regole che poi applico dove?
grazie in anticipo del tempo che utilizzate solo per leggere questo quesito un po' contorto.
Sicurezza nelle VPN (Come?)
Moderatore: Federico.Lagni
-
Francesco87
- Cisco fan
- Messaggi: 59
- Iscritto il: mar 10 apr , 2007 9:13 am
- Località: Ethernet 0/0
Se crei solo l'ACL e non la applichi su nessuna interfaccia il traffico passa in ogni caso (anche se fosse un deny ip any any).
Quello che credo ti serva è creare due ACL che permettano rispettivamente il trafico:
1) reteA->reteB
2) reteB->reteA
Dopo che hai creato le ACL selettive sul traffico che ti interessa permettere le applichi sulle interfacce:
- la 1) sul traffico in uscita dell'interfaccia sulla rete B
- la 2) sul traffico in uscita dell'interfaccia sulla rete A
Infatti si dice che le ACL siano più performanti se applicate sul traffico in uscita, si dice...
Quello che credo ti serva è creare due ACL che permettano rispettivamente il trafico:
1) reteA->reteB
2) reteB->reteA
Dopo che hai creato le ACL selettive sul traffico che ti interessa permettere le applichi sulle interfacce:
- la 1) sul traffico in uscita dell'interfaccia sulla rete B
- la 2) sul traffico in uscita dell'interfaccia sulla rete A
Infatti si dice che le ACL siano più performanti se applicate sul traffico in uscita, si dice...
The netmask in Cisco access lists are inverted. Nobody knows why, they just are.
