ip access-group: in o out ?

Mettete al sicuro la vostra rete!

Moderatore: Federico.Lagni

Rispondi
Avatar utente
spooke
Cisco enlightened user
Messaggi: 136
Iscritto il: sab 05 mar , 2005 10:18 pm
Località: Milano
Contatta:

Salve a tutti
ecco il mio scenario:
Su uno switch cisco ho definito varie Vlan e ad ognuna di queste ho assegnato una sottorete.
Poniamo il caso di avere
Vlan1 ip address 10.3.0.3 255.255.0.0
Vlan2 ip address 10.1.0.3 255.255.0.0

Il mio obbiettivo è quello di limitare tutto il traffico in entrata nella Vlan1 e definisco una regola:

ip access-list extended ACL1
permit tcp 10.1.0.0 0.0.255.255 host 10.3.0.10 eq 80
deny ip any any

Il mio obbiettivo è quello di permettere soloo all'host 10.3.0.10 della Vlan1 di fare traffico http sulla Vlan2 e di negare tutto il resto.

Applico la regola alla Vlan in questo modo:

Vlan1
ip address 10.3.0.3 255.255.0.0
ip access-group ACL1 out

Quello che non mi convince è il fatto di dover applciare la regola con la sintassi out.
E' corretto quello che ho fatto?

Qualsiasi suggerimento è veramente ben accetto. Grazie a tutti
guzza1977
n00b
Messaggi: 17
Iscritto il: dom 29 ago , 2010 10:11 pm
Località: Ardea
Contatta:

La tua configurazione permette a tutti gli hosts della VLAN1 di fare http sul solo host 10.3.0.3 della Vlan 2 (il traffico su protocolli diversi o verso altri IP della vlan 1 sarà droppato).

Se è questo che volevi ottenere la configurazione è corretta; per quanto riguarda il verso di una ACL devi considerare il verso del pacchetto IP; nel nostro caso i pacchetti saranno originati da un host situato in vlan 2 , transiteranno per lo switch e saranno consegnati sulla vlan1.

Ne consegue che i pacchetti entrano sullo switch dalla vlan 2 ed escono dallo switch sulla vlan 1. Per questo nella configurazione della vlan1 devi inserire ip access-group xx out.

Ciao.

PS a breve sul sito in firma troverai una sezione dedicata alle ACL.
www.ccnaitalia.altervista.org : La guida in lingua italiana alla certificazione Cisco CCNA 640-802.
---------------------------------------------------------------------------------------------------

Chi sa fa, chi non sa .. fa fa!
Rispondi