salve a tutti
Su di un pix 515 ho configurato dei network object group per dividerli per l'accesso ad internet.
Non ho potuto creare delle sotto reti per la divisione in quanto la rete è una 10.1.x.x/16,con i client che devono essere divisi tra chi va su internet (10.1.10.x) e chi no va (10.1.11.x).Quindi sono impossibilitato a creare delle access list con i seguenti parametri:
access-list acl-in permit tcp 10.1.10.0 255.255.255.0 any eq www
Nel senso che credo che non sia una cosa fattibile.
Non sò conoscete qualche alternativa ?
Grazie
ACL
Moderatore: Federico.Lagni
-
Gianremo.Smisek
- Messianic Network master
- Messaggi: 1159
- Iscritto il: dom 11 mar , 2007 2:23 pm
- Località: Termoli
scusami probabilmente non ho capito, perche' non subnettare?
10.1.10.x/24 rete abilitata ad uscire fuori
10.1.11.x/24 rete non abilitata ad uscire fuori.
magari con suddivisione in vlan e gestione via acl, in modo che chi e' a conoscenza della distinzione tra 10.1.10.x e 10.1.11.x, anche se si cambia l'ip rimane in ogni caso bloccato e non naviga. (per via delle vlan).
ciao
10.1.10.x/24 rete abilitata ad uscire fuori
10.1.11.x/24 rete non abilitata ad uscire fuori.
magari con suddivisione in vlan e gestione via acl, in modo che chi e' a conoscenza della distinzione tra 10.1.10.x e 10.1.11.x, anche se si cambia l'ip rimane in ogni caso bloccato e non naviga. (per via delle vlan).
ciao
-
Gianremo.Smisek
- Messianic Network master
- Messaggi: 1159
- Iscritto il: dom 11 mar , 2007 2:23 pm
- Località: Termoli
non conosco molto bene gli asa, non ancora ci metto mano...
quante interfacce ha? non puoi cambiare quell'indirizzo? Non hai a disposizione altri apparati? (magari degli switch multilayer).
quante interfacce ha? non puoi cambiare quell'indirizzo? Non hai a disposizione altri apparati? (magari degli switch multilayer).
-
nerviano
- n00b
- Messaggi: 20
- Iscritto il: mer 15 apr , 2009 9:07 am
Ma credo che sia comune, nel senso che credo che sia un discorso di networking in generale:se io maschero quelle reti con un /24 chi sta sopra non lo vede,e viceversa..
o mi sbaglio?
a meno che non si creino altre regole che stabiliscono che quelle reti si debbano parlare,ma il problema è che dall'interfaccia inside alla lan avremmo 2 ordini di grandezza di subnet differente,quindi la regola dove l'applichiamo se già in entrata abbiamo il problema?
Grazie
o mi sbaglio?
a meno che non si creino altre regole che stabiliscono che quelle reti si debbano parlare,ma il problema è che dall'interfaccia inside alla lan avremmo 2 ordini di grandezza di subnet differente,quindi la regola dove l'applichiamo se già in entrata abbiamo il problema?
Grazie
-
Gianremo.Smisek
- Messianic Network master
- Messaggi: 1159
- Iscritto il: dom 11 mar , 2007 2:23 pm
- Località: Termoli
si potrebbe usare un secondary address sull'interfaccia.. ma rimane esclusa cmq una rete.
hai solo quel pix a disposizione?
hai solo quel pix a disposizione?
