Benvenuto,
Ospite
|
ARGOMENTO:
Moderatori: jpalombi
Benvenuto,
Ospite
|
|
Buongiorno,
Vorrei portare all'attenzione una configurazione di ACL consigliata dagli hints del simulatore sull'interfaccia errata. Requirements: 1 Allow pings to the LAN interface or R2 2 Prevent pings to any other address in R2's LAN 3 Allow SSH access to both addresses of R2 4 Prevent Telnet access to both addresses of R2 5 Permit all other traffic Statements: 1 allow ping's to R2 Gi0/0 2 block pings to R2 LAN 3 allow SSH to R2 Gi0/0 4 allow SSH to R2 S0/0/0 5 block telnet to R2 Gi0/0 6 block telnet to R2 S0/0/0 7 allow all other traffic Command ACL building access-list 100 permit icmp any host 172.30.4.190 access-list 100 deny icmp any 172.30.4.128 0.0.0.63 access-list 100 permit tcp any host 172.30.4.233 eq 22 access-list 100 permit tcp any host 172.30.4.190 eq 22 access-list 100 deny tcp any 172.30.4.233 eq 23(or telnet) access-list 100 deny tcp any 172.30.4.190 eq telnet access-list 100 permit ip any any Dice di applicarla sull'interfaccia più vicina alla source s0/0/0 in ingresso ma in questo caso pc3 riesce a pingare la lan di PC2, inoltre io ricordavo di dover applicare sull'interfaccia più vicina alla destination. Qual'e la best practice? Ad ogni modo applicando la ACL su S0/0/1 in uscita funziona come richiesto. Prego di Visualizzare la topologia in allegato che mostra anche il ping di PC3 verso la R2 LAN andato a buon fine. |
Si prega Accedi a partecipare alla conversazione. |
|
Ciao Nicola,
posto che il l’argomento dedicato alle ACL Extended verrà trattato nel dettaglio nella seconda parte del corso – quindi nell’ICND2 –, nel caso di una ACL di questo tipo può essere considerata come best practice quella di applicare il filtro il più vicino possibile alla sorgente del traffico preso in esame in modo che non venga effettuato inoltro di pacchetti che verrebbero comunque filtrati in seguito. Come da screenshot allegato, il laboratorio – che è dedicato alle ACL Extended – tende a sottolineare proprio questo concetto richiedendo di applicare il filtro il più vicino possibile alla fonte dei pacchetti in modo che il router prima possa applicare il filtro e, nel caso i pacchetti non vengano filtrati dall’ACL Extended, poi performare il processo di routing. Mentre nel caso di ACL Standard, ti confermo ciò che hai scritto ovvero che è necessario che venga applicata il più vicino possibile alla destinazione del traffico in modo che, compiendo l’analisi solo sulla base dell’IP Sorgente, i pacchetti non vengano filtrati prima del necessario e/o in maniera impropria rispetto alle policy da rispettare. Un caro saluto! Fabio
Ringraziano per il messaggio: jpalombi, pallan
|
Si prega Accedi a partecipare alla conversazione. |