martedì, Dicembre 10, 2024

Cisco CaseStudy CCNA2, ACL e subnetting

AreaNetworking.it
AreaNetworking.ithttps://www.areanetworking.it
AreaNetworking.it è tra i principali e più storici media italiani del settore ICT. Nato nel 2003 per opera di Federico Lagni, l'attività del gruppo è sia online - con il portale rivolto a figure professionali ICT (IT Manager, CTO, Security Specialist, Datacenter Engineer, etc) - sia offline con l'organizzazione delle più importanti conferenze italiane su temi tecnologici.
<Alessandro> Denis, hai 10 minuti per dare un’occhiata al CaseStudy di CCNA2?
<Denis> di che trattava?
<Denis> ACLe subnetting?
<Alessandro> ti passo il PDF, sono 300k
<Alessandro> volevo conoscere un tuo parere
<Alessandro> se c’è qualche orrore
<Alessandro> è ACL Subnetting e Routing
<Denis> dimmi
<Alessandro> allora
<Alessandro> Network address 192.168.10.0
<Alessandro> Subnet required 5
<Alessandro> Routing Protocol RIP
<Alessandro> Fase 2
<Denis> ah si, me lo ricordo vagamente
<Alessandro> ora Fase2
<Denis> l’unico un po’ divertente è stato quello di CCNA3
<Denis> aspetta che lo trovo…
<Alessandro> ok
<Denis> devi assegnare gli indirizzi
<Denis> usi RIPv2?
<Denis> quindi puoi fare VLSM e subnettare
<Alessandro> uso RIP in genere
<Denis> eh no, cambia molto
<Denis> RIPv1 non saprebbe routare classless
<Alessandro> e da cosa capisco se usare RIPv1, v2 o IGRP?
<Denis> non lo so… cosa ti chiede di fare?
<Denis> ma scusa… la CCNA va per gradi
<Denis> in CCNA2 manco lo conosci OSPF, nemmeno RIPv2
<Denis> quindi è chiaro che usi RIP o IGRP
<Alessandro> ok
<Denis> chiaro che è una situazione di solo studio
<Alessandro> io ho scelto RIP dato che la rete non è complessa
<Denis> tra cosa puoi scegliere?
<Alessandro> il CS non dice nulla ma noi abbiamo fatto RIP e IGRP
<Alessandro> IGRP non credo sia il caso
<Denis> perchè no?
<Denis> se la rete è cisco only
<Denis> comunque usa RIP… tanto basta
<Alessandro> tra router non ci sono connessioni multiple con velocità diverse
<Denis> chiaramente devi usare una /24 per ogni link
<Alessandro> come una /24?
<Denis> diciamo che li non le segna
<Denis> ma sicuramente ci sono
<Denis> non puoi usare classless con RIP
<Alessandro> ma se devo creare 5 subnet a partire da 192.168.10.0
<Denis> ecco, dimmi che range hai
<Alessandro> 192.168.10.0 /27
<Alessandro> mi servono 5 Subnet
<Alessandro> 192.168.10.0-31
<Denis> mmhh
<Alessandro> 32-63
<Alessandro> ecc ecc
<Denis> si
<Alessandro> comunque ho fatto le configurazioni sui miei router
<Alessandro> mettendo entrambe le serial del Center a DCE
<Alessandro> con clock 4000000
<Denis> quello c’entra niente
<Denis> se hai solo una 10/27, assegni ogni subnet
<Denis> alle 5 presenti
<Denis> il problema qual è?
<Alessandro> fino ad ora nessuno
<Alessandro> vai alla Fase 4
<Denis> comunque anche a me sto CS non quadrava
<Denis> io dubito che RIPv1 sia in grado di farti il routing
<Alessandro> come ti dicevo ho creato sto CS sui miei router con tutti gli host
<Denis> RIPv1 capisce solo 8 16 24
<Denis> la 27
<Denis> te la fa diventare una 24
<Denis> quindi non riuscirà a routare
<Alessandro> e tutti si pingano
<Denis> perchè si troverà 192.168.10.0 su tutte le direzioni
<Denis> sinceramente non capisco come possa funzionare
<Denis> magari mi perdo qualcosa
<Alessandro> ho impostato questo
<Alessandro> router rip
<Alessandro> network 192.168.10.32
<Alessandro> network 192.168.10.96
<Denis> mi segui?
<Denis> no! RIPv1 vede automaticamente tutte e due
<Denis> come 192.168.10.0
<Denis> anche se accetta quello che gli hai passato
<Alessandro> allora cambio con IGRP e gli assegno un AS a caso?
<Denis> devi necessariamente usare un protocollo di routing classless
<Denis> no
<Alessandro> e che ci metto?
<Denis> appunto
<Denis> infatti
<Denis> sto CS era finito nel nulla
<Denis> secondo quanto dedotto
<Denis> Cisco ha sbagliato qualcosa
<Denis> nel proporre quel CS lì
<Denis> l’insegnante non era un granchè
<Denis> ma anche lui se n’è andato a male
<Denis> se vuoi controllo meglio
<Denis> ma RIP e IGRP sono classfull
<Alessandro> alcuni della mia classe hanno saputo da altri che hanno fatto sto CS e che hanno usato IGRP
<Denis> non sono in grado di gestire routing con subnet che non siano 8 16 o 24
<Alessandro> ma non sanno le ragioni
<Denis> la ragione è che i CNAP Cisco sono fatti spesso male
<Denis> strapieni di errori
<Alessandro> router rip
<Alessandro> network 192.168.10.32
<Alessandro> network 192.168.10.96
<Denis> questo è uno dei tanti
<Alessandro> scusa
<Denis> non funziona quello
<Denis> devi usare RIPv2
<Denis> che ancora non hai studiato
<Alessandro> non l’abbiamo fatto
<Denis> oppure EIGRP o OSPF
<Denis> ISIS
<Denis> insomma
<Denis> ma non RIPv1 o IGRP
<Denis> non è possibile
<Alessandro> comunque vai alla Fase4
<Denis> devi usare 5 reti tipo
<Denis> 192.168.1.0
<Denis> 192.168.2.0
<Denis> 192.168.3.0
<Denis> ecc
<Denis> è l’unica
<Denis> <Alessandro> router rip
<Denis> <Alessandro> network 192.168.10.32
<Denis> <Alessandro> network 192.168.10.96
<Denis> questo diventa
<Denis> network 192.168.10.0
<Alessandro> capito
<Denis> anche se l’implementazione Cisco accetta e fa da solo a traduzione
<Denis> con RIPv2 invece
<Denis> puoi farlo
<Alessandro> domani me la discuto con il docente
<Denis> perchè gestisce le subnet mask
<Alessandro> passiamo alle ACL
<Denis> ah…, comunque, fai così
<Denis> per ovviare
<Denis> router RIP
<Denis> version 2
<Denis> network 192.168.10.0 mask
<Denis> almeno ti funziona
<Alessandro> ok
<Alessandro> più tardi provo
<Alessandro> dammi una mano con le ACL
<Alessandro> allora
<Alessandro> le reti Boaz ed Eva
<Alessandro> non devono uscire dalle loro subnet
<Denis> bien
<Alessandro> ma devono raggiungere il Server1
<Denis> quindi sul router
<Denis> sull’interfaccia che da sulla subnet
<Denis> metterai
<Denis> permit ip subnet mask Boaz host ip-sever1
<Denis> deny ip any any
<Alessandro> ok
<Alessandro> e qua ci sono
<Denis> e la applichi
<Denis> in entrata
<Denis> ip access group Boazlist in
<Alessandro> leggi alla fine della fase 4
<Denis> cioè
<Denis> telnet tra i routers
<Alessandro> anche
<Alessandro> telnet bloccato da host a router
<Denis> beh
<Alessandro> non si fa col comando access-class
<Denis> io darei un ip x.x.x.1 ai router
<Alessandro> sotto line vty 0 4?
<Denis> in ogni subnet
<Denis> si, anche!
<Denis> ma l’access list deve matchare più routers
<Denis> quindi… darei il primo IP di ogni subnet
<Denis> ai routers
<Denis> il primo e il secondo
<Denis> quindi una 30
<Alessandro> se gli dico deny host e poi permit any?
<Denis> poi fai
<Denis> permit tcp 192.168.10.0 0.0.0.3 192.168.10.0 0.0.0.3 eq 23
<Denis> con questa ACL
<Denis> solo i routers possono accedere ai soli routers
<Denis> sulla 23
<Denis> ti piace?
<Denis> e poi chiudi con
<Denis> deny tcp any any eq 23
<Alessandro> quindi senza comando access-class
<Alessandro> con sole ACL Ext
<Denis> no no
<Denis> usi access class
<Denis> quella era solo l’ACL
<Alessandro> domani ho il test sulle ACL e anche lo scritto finale
<Denis> aspetta… non va bene
<Denis> permit tcp 192.168.10.0 0.0.0.3 192.168.10.0 0.0.0.3 eq 23
<Denis> cosi solo 192.168.10.0-1-2-3
<Denis> possono accedere agli stessi
<Denis> non è facile fare queste cose senza aver presente la rete
<Denis> conviene fare il contrario
<Denis> blocca la 23 su ogni rete
<Denis> e lasciala aperta solo tra le seriali dei routers
<Denis> inoltre permetti solo la workstation di management
<Denis> poi applichi l’ACL a line vty 0 4
<Denis> con access-class numero in
<Alessandro> ok
<Alessandro> ti ringrazio per i consigli Denis!

Articoli correlati

Noleggia una Tesla per il tuo evento ICT!

Categorie