Login

Benvenuto, Ospite
Nome utente: Password: Ricordami
  • Pagina:
  • 1

ARGOMENTO:

ACL applicata su interfaccia errata 5 Anni 11 Mesi fa #1

  • pallan
  • Avatar di pallan Autore della discussione
  • Offline
  • Junior Member
  • Junior Member
  • Messaggi: 11
  • Ringraziamenti ricevuti 1
Buongiorno,

Vorrei portare all'attenzione una configurazione di ACL consigliata dagli hints del simulatore sull'interfaccia errata.

Requirements:

1 Allow pings to the LAN interface or R2
2 Prevent pings to any other address in R2's LAN
3 Allow SSH access to both addresses of R2
4 Prevent Telnet access to both addresses of R2
5 Permit all other traffic

Statements:

1 allow ping's to R2 Gi0/0
2 block pings to R2 LAN
3 allow SSH to R2 Gi0/0
4 allow SSH to R2 S0/0/0
5 block telnet to R2 Gi0/0
6 block telnet to R2 S0/0/0
7 allow all other traffic

Command ACL building

access-list 100 permit icmp any host 172.30.4.190

access-list 100 deny icmp any 172.30.4.128 0.0.0.63

access-list 100 permit tcp any host 172.30.4.233 eq 22

access-list 100 permit tcp any host 172.30.4.190 eq 22

access-list 100 deny tcp any 172.30.4.233 eq 23(or telnet)

access-list 100 deny tcp any 172.30.4.190 eq telnet

access-list 100 permit ip any any

Dice di applicarla sull'interfaccia più vicina alla source s0/0/0 in ingresso ma in questo caso pc3
riesce a pingare la lan di PC2, inoltre io ricordavo di dover applicare sull'interfaccia più vicina alla destination.
Qual'e la best practice?
Ad ogni modo applicando la ACL su S0/0/1 in uscita funziona come richiesto.
Prego di Visualizzare la topologia in allegato che mostra anche il ping di PC3 verso la R2 LAN andato a buon fine.
Allegati:

Si prega Accedi a partecipare alla conversazione.

ACL applicata su interfaccia errata 5 Anni 11 Mesi fa #2

  • fdavino
  • Avatar di fdavino
  • Offline
  • Administrator
  • Administrator
  • Messaggi: 173
  • Ringraziamenti ricevuti 64
Ciao Nicola,

posto che il l’argomento dedicato alle ACL Extended verrà trattato nel dettaglio nella seconda parte del corso – quindi nell’ICND2 –, nel caso di una ACL di questo tipo può essere considerata come best practice quella di applicare il filtro il più vicino possibile alla sorgente del traffico preso in esame in modo che non venga effettuato inoltro di pacchetti che verrebbero comunque filtrati in seguito.

Come da screenshot allegato, il laboratorio – che è dedicato alle ACL Extended – tende a sottolineare proprio questo concetto richiedendo di applicare il filtro il più vicino possibile alla fonte dei pacchetti in modo che il router prima possa applicare il filtro e, nel caso i pacchetti non vengano filtrati dall’ACL Extended, poi performare il processo di routing.

Mentre nel caso di ACL Standard, ti confermo ciò che hai scritto ovvero che è necessario che venga applicata il più vicino possibile alla destinazione del traffico in modo che, compiendo l’analisi solo sulla base dell’IP Sorgente, i pacchetti non vengano filtrati prima del necessario e/o in maniera impropria rispetto alle policy da rispettare.

Un caro saluto!
Fabio
Ringraziano per il messaggio: jpalombi, pallan

Si prega Accedi a partecipare alla conversazione.

  • Pagina:
  • 1
Moderatori: jpalombi