Pagina 1 di 1

ip access-group: in o out ?

Inviato: mer 20 giu , 2012 9:48 am
da spooke
Salve a tutti
ecco il mio scenario:
Su uno switch cisco ho definito varie Vlan e ad ognuna di queste ho assegnato una sottorete.
Poniamo il caso di avere
Vlan1 ip address 10.3.0.3 255.255.0.0
Vlan2 ip address 10.1.0.3 255.255.0.0

Il mio obbiettivo è quello di limitare tutto il traffico in entrata nella Vlan1 e definisco una regola:

ip access-list extended ACL1
permit tcp 10.1.0.0 0.0.255.255 host 10.3.0.10 eq 80
deny ip any any

Il mio obbiettivo è quello di permettere soloo all'host 10.3.0.10 della Vlan1 di fare traffico http sulla Vlan2 e di negare tutto il resto.

Applico la regola alla Vlan in questo modo:

Vlan1
ip address 10.3.0.3 255.255.0.0
ip access-group ACL1 out

Quello che non mi convince è il fatto di dover applciare la regola con la sintassi out.
E' corretto quello che ho fatto?

Qualsiasi suggerimento è veramente ben accetto. Grazie a tutti

Re: ip access-group: in o out ?

Inviato: ven 22 giu , 2012 11:54 am
da guzza1977
La tua configurazione permette a tutti gli hosts della VLAN1 di fare http sul solo host 10.3.0.3 della Vlan 2 (il traffico su protocolli diversi o verso altri IP della vlan 1 sarà droppato).

Se è questo che volevi ottenere la configurazione è corretta; per quanto riguarda il verso di una ACL devi considerare il verso del pacchetto IP; nel nostro caso i pacchetti saranno originati da un host situato in vlan 2 , transiteranno per lo switch e saranno consegnati sulla vlan1.

Ne consegue che i pacchetti entrano sullo switch dalla vlan 2 ed escono dallo switch sulla vlan 1. Per questo nella configurazione della vlan1 devi inserire ip access-group xx out.

Ciao.

PS a breve sul sito in firma troverai una sezione dedicata alle ACL.