Scusate volevo chiedervi delle delucidazioni...
le access-list non le posso chiamare come mi pare??
cioè non posso fare
access-list acl_prova ip deny any any
??
se faccio
access-list 131 deny ip any any
access-list 131 permit tcp any any eq www
access-list 131 deny ip any any
e poi la applico dial0 in questo modo
ip access-group 131 in
dovrebbe funzionarmi la navigazione,e tutto il resto bloccato come la applico non funziona niente!!
access-list delucidazioni
Moderatore: Federico.Lagni
-
TheIrish
- Site Admin
- Messaggi: 1840
- Iscritto il: dom 14 mar , 2004 11:26 pm
- Località: Udine
- Contatta:
Se ti stai riferendo ai nomi, la risposta è no.le access-list non le posso chiamare come mi pare??
ACL numerate: da 1 a 99 sono standard ACL. da 100 a 199 sono extended. Ce ne sarebbero altre ma questo non è il caso di approfondire.
Quelle che usi tu nell'esempio sono extended. Si dichiarano con access-list <numero> ecc.
named ACL: sono ACL alle quali puoi dare un nome e funzionano in modo analogo alle numerate. Se vogliamo dichiarare una extended named access-list, faremo ip access-list <nome> extended ed entreremo in modalità editing delle named access-list.
Questo esempio è sbagliato. Ti ricordo che le access-list vengono lette dall'alto al basso. Quando un pacchetto trova riscontro in una riga dell'ACL, l'ispezione termina e la decisione viene presa.access-list 131 deny ip any any
access-list 131 permit tcp any any eq www
access-list 131 deny ip any any
Se il tuo scopo era quello di abilitare la navigazione del web, l'ACL sarà:
Codice: Seleziona tutto
access-list 131 permit tcp any any eq www
access-list deny ip any anySbagliato. Il tuo browser apre una porta qualsiasi ma la sua destinazione è la porta 80 (www). Sorgente: qualsiasi, destinazione: 80e poi la applico dial0 in questo modo
ip access-group 131 in
Nell'ACL dici esattamente questo: qualsiasi sorgente, qualsiasi porta sorgente, qualsiasi destinazione, porta destinazione 80.
Quindi, se vuoi negare qualsiasi altra attività il verso dell'ispezione è OUT, non in.
Comunque ti rimando all'IT-Blog: http://www.ciscoforums.it/ITBlog/index. ... parte.html
Buona lettura
-
xmatrix83
- Cisco power user
- Messaggi: 105
- Iscritto il: sab 27 ago , 2005 2:44 pm
già che ci sei non è che mi potresti dare un occhiata a questa qos
class-map match-all class_ftp
match access-group 102
policy-map QoS_ftp
class class_ftp
bandwidth percent 75
queue-limit 20
access-list 102 permit tcp any any eq ftp
poi l'ho applicata all'interface dial0
service-policy output QoS_ftp
Io questo l'ho fatto perchè ho emule sempre aperto,e ho un "server" ftp.
Quindi quando mi connetto dall'esterno all'ftp voglio scaricare senza collo di bottiglia dato da emule.
Purtroppo sembra non funzionare, infatti la velocità di upload di emule non cala mai,neanche durante un upload via ftp.
Sapresti darmi una mano??
class-map match-all class_ftp
match access-group 102
policy-map QoS_ftp
class class_ftp
bandwidth percent 75
queue-limit 20
access-list 102 permit tcp any any eq ftp
poi l'ho applicata all'interface dial0
service-policy output QoS_ftp
Io questo l'ho fatto perchè ho emule sempre aperto,e ho un "server" ftp.
Quindi quando mi connetto dall'esterno all'ftp voglio scaricare senza collo di bottiglia dato da emule.
Purtroppo sembra non funzionare, infatti la velocità di upload di emule non cala mai,neanche durante un upload via ftp.
Sapresti darmi una mano??
(-
djdylan78
- Network Emperor
- Messaggi: 382
- Iscritto il: ven 20 gen , 2006 2:01 pm
il remark serve per inserire i commenti alla tua standard/extended access-list
Per maggiori info:
http://www.cisco.com/univercd/cc/td/doc ... omment.htm
Per maggiori info:
http://www.cisco.com/univercd/cc/td/doc ... omment.htm
Cisco Certified
