venerdì, Settembre 22, 2023

Cisco CaseStudy CCNA2, ACL e subnetting

AreaNetworking.it
AreaNetworking.ithttps://www.areanetworking.it
AreaNetworking.it è tra i principali e più storici media italiani del settore ICT. Nato nel 2003 per opera di Federico Lagni, l'attività del gruppo è sia online - con il portale rivolto a figure professionali ICT (IT Manager, CTO, Security Specialist, Datacenter Engineer, etc) - sia offline con l'organizzazione delle più importanti conferenze italiane su temi tecnologici.
<Alessandro> Denis, hai 10 minuti per dare un’occhiata al CaseStudy di CCNA2?
<Denis> di che trattava?
<Denis> ACLe subnetting?
<Alessandro> ti passo il PDF, sono 300k
<Alessandro> volevo conoscere un tuo parere
<Alessandro> se c’è qualche orrore
<Alessandro> è ACL Subnetting e Routing
<Denis> dimmi
<Alessandro> allora
<Alessandro> Network address 192.168.10.0
<Alessandro> Subnet required 5
<Alessandro> Routing Protocol RIP
<Alessandro> Fase 2
<Denis> ah si, me lo ricordo vagamente
<Alessandro> ora Fase2
<Denis> l’unico un po’ divertente è stato quello di CCNA3
<Denis> aspetta che lo trovo…
<Alessandro> ok
<Denis> devi assegnare gli indirizzi
<Denis> usi RIPv2?
<Denis> quindi puoi fare VLSM e subnettare
<Alessandro> uso RIP in genere
<Denis> eh no, cambia molto
<Denis> RIPv1 non saprebbe routare classless
<Alessandro> e da cosa capisco se usare RIPv1, v2 o IGRP?
<Denis> non lo so… cosa ti chiede di fare?
<Denis> ma scusa… la CCNA va per gradi
<Denis> in CCNA2 manco lo conosci OSPF, nemmeno RIPv2
<Denis> quindi è chiaro che usi RIP o IGRP
<Alessandro> ok
<Denis> chiaro che è una situazione di solo studio
<Alessandro> io ho scelto RIP dato che la rete non è complessa
<Denis> tra cosa puoi scegliere?
<Alessandro> il CS non dice nulla ma noi abbiamo fatto RIP e IGRP
<Alessandro> IGRP non credo sia il caso
<Denis> perchè no?
<Denis> se la rete è cisco only
<Denis> comunque usa RIP… tanto basta
<Alessandro> tra router non ci sono connessioni multiple con velocità diverse
<Denis> chiaramente devi usare una /24 per ogni link
<Alessandro> come una /24?
<Denis> diciamo che li non le segna
<Denis> ma sicuramente ci sono
<Denis> non puoi usare classless con RIP
<Alessandro> ma se devo creare 5 subnet a partire da 192.168.10.0
<Denis> ecco, dimmi che range hai
<Alessandro> 192.168.10.0 /27
<Alessandro> mi servono 5 Subnet
<Alessandro> 192.168.10.0-31
<Denis> mmhh
<Alessandro> 32-63
<Alessandro> ecc ecc
<Denis> si
<Alessandro> comunque ho fatto le configurazioni sui miei router
<Alessandro> mettendo entrambe le serial del Center a DCE
<Alessandro> con clock 4000000
<Denis> quello c’entra niente
<Denis> se hai solo una 10/27, assegni ogni subnet
<Denis> alle 5 presenti
<Denis> il problema qual è?
<Alessandro> fino ad ora nessuno
<Alessandro> vai alla Fase 4
<Denis> comunque anche a me sto CS non quadrava
<Denis> io dubito che RIPv1 sia in grado di farti il routing
<Alessandro> come ti dicevo ho creato sto CS sui miei router con tutti gli host
<Denis> RIPv1 capisce solo 8 16 24
<Denis> la 27
<Denis> te la fa diventare una 24
<Denis> quindi non riuscirà a routare
<Alessandro> e tutti si pingano
<Denis> perchè si troverà 192.168.10.0 su tutte le direzioni
<Denis> sinceramente non capisco come possa funzionare
<Denis> magari mi perdo qualcosa
<Alessandro> ho impostato questo
<Alessandro> router rip
<Alessandro> network 192.168.10.32
<Alessandro> network 192.168.10.96
<Denis> mi segui?
<Denis> no! RIPv1 vede automaticamente tutte e due
<Denis> come 192.168.10.0
<Denis> anche se accetta quello che gli hai passato
<Alessandro> allora cambio con IGRP e gli assegno un AS a caso?
<Denis> devi necessariamente usare un protocollo di routing classless
<Denis> no
<Alessandro> e che ci metto?
<Denis> appunto
<Denis> infatti
<Denis> sto CS era finito nel nulla
<Denis> secondo quanto dedotto
<Denis> Cisco ha sbagliato qualcosa
<Denis> nel proporre quel CS lì
<Denis> l’insegnante non era un granchè
<Denis> ma anche lui se n’è andato a male
<Denis> se vuoi controllo meglio
<Denis> ma RIP e IGRP sono classfull
<Alessandro> alcuni della mia classe hanno saputo da altri che hanno fatto sto CS e che hanno usato IGRP
<Denis> non sono in grado di gestire routing con subnet che non siano 8 16 o 24
<Alessandro> ma non sanno le ragioni
<Denis> la ragione è che i CNAP Cisco sono fatti spesso male
<Denis> strapieni di errori
<Alessandro> router rip
<Alessandro> network 192.168.10.32
<Alessandro> network 192.168.10.96
<Denis> questo è uno dei tanti
<Alessandro> scusa
<Denis> non funziona quello
<Denis> devi usare RIPv2
<Denis> che ancora non hai studiato
<Alessandro> non l’abbiamo fatto
<Denis> oppure EIGRP o OSPF
<Denis> ISIS
<Denis> insomma
<Denis> ma non RIPv1 o IGRP
<Denis> non è possibile
<Alessandro> comunque vai alla Fase4
<Denis> devi usare 5 reti tipo
<Denis> 192.168.1.0
<Denis> 192.168.2.0
<Denis> 192.168.3.0
<Denis> ecc
<Denis> è l’unica
<Denis> <Alessandro> router rip
<Denis> <Alessandro> network 192.168.10.32
<Denis> <Alessandro> network 192.168.10.96
<Denis> questo diventa
<Denis> network 192.168.10.0
<Alessandro> capito
<Denis> anche se l’implementazione Cisco accetta e fa da solo a traduzione
<Denis> con RIPv2 invece
<Denis> puoi farlo
<Alessandro> domani me la discuto con il docente
<Denis> perchè gestisce le subnet mask
<Alessandro> passiamo alle ACL
<Denis> ah…, comunque, fai così
<Denis> per ovviare
<Denis> router RIP
<Denis> version 2
<Denis> network 192.168.10.0 mask
<Denis> almeno ti funziona
<Alessandro> ok
<Alessandro> più tardi provo
<Alessandro> dammi una mano con le ACL
<Alessandro> allora
<Alessandro> le reti Boaz ed Eva
<Alessandro> non devono uscire dalle loro subnet
<Denis> bien
<Alessandro> ma devono raggiungere il Server1
<Denis> quindi sul router
<Denis> sull’interfaccia che da sulla subnet
<Denis> metterai
<Denis> permit ip subnet mask Boaz host ip-sever1
<Denis> deny ip any any
<Alessandro> ok
<Alessandro> e qua ci sono
<Denis> e la applichi
<Denis> in entrata
<Denis> ip access group Boazlist in
<Alessandro> leggi alla fine della fase 4
<Denis> cioè
<Denis> telnet tra i routers
<Alessandro> anche
<Alessandro> telnet bloccato da host a router
<Denis> beh
<Alessandro> non si fa col comando access-class
<Denis> io darei un ip x.x.x.1 ai router
<Alessandro> sotto line vty 0 4?
<Denis> in ogni subnet
<Denis> si, anche!
<Denis> ma l’access list deve matchare più routers
<Denis> quindi… darei il primo IP di ogni subnet
<Denis> ai routers
<Denis> il primo e il secondo
<Denis> quindi una 30
<Alessandro> se gli dico deny host e poi permit any?
<Denis> poi fai
<Denis> permit tcp 192.168.10.0 0.0.0.3 192.168.10.0 0.0.0.3 eq 23
<Denis> con questa ACL
<Denis> solo i routers possono accedere ai soli routers
<Denis> sulla 23
<Denis> ti piace?
<Denis> e poi chiudi con
<Denis> deny tcp any any eq 23
<Alessandro> quindi senza comando access-class
<Alessandro> con sole ACL Ext
<Denis> no no
<Denis> usi access class
<Denis> quella era solo l’ACL
<Alessandro> domani ho il test sulle ACL e anche lo scritto finale
<Denis> aspetta… non va bene
<Denis> permit tcp 192.168.10.0 0.0.0.3 192.168.10.0 0.0.0.3 eq 23
<Denis> cosi solo 192.168.10.0-1-2-3
<Denis> possono accedere agli stessi
<Denis> non è facile fare queste cose senza aver presente la rete
<Denis> conviene fare il contrario
<Denis> blocca la 23 su ogni rete
<Denis> e lasciala aperta solo tra le seriali dei routers
<Denis> inoltre permetti solo la workstation di management
<Denis> poi applichi l’ACL a line vty 0 4
<Denis> con access-class numero in
<Alessandro> ok
<Alessandro> ti ringrazio per i consigli Denis!

Articoli correlati

Il caso “Medusa Ransomware”

I ransomware stanno diventando sempre più una minaccia di rilevanza importante, quasi da non far dormire sonni tranquilli ad aziende sia pubbliche che private,...

Digital Transformation


 

Noleggia una Tesla per il tuo evento ICT!

Categorie