ARGOMENTO:

9.2.1.9 Activity - Configuring Standard ACLs 9 Anni 1 Mese fa #1

roberto ulisse
Autore della discussione
Offline
Platinum Member
Messaggi: 289
Ringraziamenti ricevuti 35

Salve,
ho qualche dubbio i relazione all'attivita' in oggetto.
applicando l'acl cosi come da di riscontro esatto come in figura mi pare che venga anche bloccato il traffico proveniente da tutti gli host appartenenti alla sottorete 192.168.2.0/24, cosa che non viene eaplicitamente richiesta.
mi pare strano che cosi per come e' stato formulato la domanda non sia stata data la possibilita' di applicare la stessa acl sulla seriale verso in.
qui le figure:

qualche opinione?

Si prega Accedi a partecipare alla conversazione.

9.2.1.9 Activity - Configuring Standard ACLs 9 Anni 1 Mese fa #2

jpalombi
Offline
Administrator
Messaggi: 2646
Ringraziamenti ricevuti 1112

Ciao Roberto,
per il blocco implicito e non richiesto della subnet 192.168.2.0/24 hai ragione: scontrandosi infatti con il deny implicito verrebbe bloccato l'accesso. Per quanto riguarda la seriale invece, potrai comprendere che se inserita in verso entrante, tale ACL riguarderebbe anche il traffico verso la 192.168.2.0/24 (impedendo totalmente l'accesso a tale LAN da parte della 3.0/24 e 4.0/24

Per le ACL standard infatti, che filtrano solo sulla base degli IP sorgente, regola aurea vuole che vengano inserite il più vicino possibile alla destinazione del traffico, proprio per non impattare su altri flussi.

Ovviamente le ACL standard hanno grandi limiti, motivo per il quale sono state introdotte le extended, capaci di filtrare il traffico a monte

IpCert Instructor
CCENT - CCNA - CCNA CyberOps - CCNP Enterprise - CCNP Collaboration - CCNP Service Provider
CCS - Enterprise Core, Ent. Advanced Infrastructure, SP Core, SP Advanced Routing, SP VPN Services, Collaboration Core, Coll. Applications

Si prega Accedi a partecipare alla conversazione.

9.2.1.9 Activity - Configuring Standard ACLs 9 Anni 1 Mese fa #3

roberto ulisse
Autore della discussione
Offline
Platinum Member
Messaggi: 289
Ringraziamenti ricevuti 35

si certo, la mia osservazione era in relazione a come era stata posta la domanda, come per la questione hop-metrica-ipv4-ipv6 (dell'altro post nel routing) spesso e' come viene posta la questione, se a me avessero affidato l'incarico di effettuare tale configurazione in una rete funzionante e come si dice "in produzione" sarebbe stato il caso di far notare all'amministratore che le indicazioni non erano sufficienti o che si poteva fare un patatrak.
Cosi come abbiamo risolto il problema noi abbiamo interpretato secondo il criterio che e' vietato cio' che non e' espressamente consentito mentre secondo la mia scuola di pensiero (ma e' una mia personale scelta) e' consentito tutto cio' che non e' espressamete vietato, quindi in un contesto aperto ed intendo senza le scelte guidate i risutati sarebbero stati differenti a seconda della "filosofia" interpretativa, non so se mi sono spiegato.
Questo giusto per mettere l'accento che i problemi posti in maniera ambigua hanno piu' di una sola legittima soluzione.

Si prega Accedi a partecipare alla conversazione.

Ultima Modifica: da roberto ulisse. Motivo: ortografia

9.2.1.9 Activity - Configuring Standard ACLs 9 Anni 1 Mese fa #4

jpalombi Offline Administrator Messaggi: 2646 Ringraziamenti ricevuti 1112	Concordo IpCert Instructor CCENT - CCNA - CCNA CyberOps - CCNP Enterprise - CCNP Collaboration - CCNP Service Provider CCS - Enterprise Core, Ent. Advanced Infrastructure, SP Core, SP Advanced Routing, SP VPN Services, Collaboration Core, Coll. Applications Ringraziano per il messaggio: roberto ulisse
	Si prega Accedi a partecipare alla conversazione.