ACL'er i en Cisco-switch
Ska skicka en färdigkonfigurerad switch för användning på annan plats, och behöver lite hjälp ang ACL'erna. Hade jag kunnat konfigurera switchen på plats hade jag testat mig fram. Men nu behöver jag vara säker innan den postas. Är en 8portars WS-C2960-8TC-S med c2960-lanlitek9-tar.150-2.SE. En av FE portarna behöver filtrera spökringningar för SIP på port 5060 och tillåta HTTP för fjärraccess till systemet bakom. Jag behöver lite synpunkter på om ACL'erna är rätt utformade/om jag tänkt rätt.
access-list 101 permit udp 80.90.0.98 0.0.255.255 any eq 5060
access-list 101 permit tcp 60.60.200.138 0.0.0.255 any eq 80
access-list 101 permit icmp any any echo-reply
access-list 101 deny ip any any
access-list 101 permit udp 80.90.0.98 0.0.255.255 any eq 5060
Ovan ACL är tänkt att släppa igenom UDP-trafik från spannet 80.90.0.0 till 80.90.255.255 till valfri destination på port 5060.
Div enbart tillåta SIP-signalering från ett specifikt subnät.
access-list 101 permit tcp 60.60.200.138 0.0.0.255 any eq 80
Ovan ACL är tänkt att släppa igenom TCP-trafik från spannet 60.60.200.0 - 60.60.200.255 till valfri destination på port 80.
Div enbart tillåta HTTP access från ett specifikt subnät.
access-list 101 permit icmp any any echo-reply
Ovan ACL är tänkt att släppa igenom ping från avsändare till alla mottagare.
access-list 101 deny ip any any
Denna är tänkt att stoppa all trafik som inte har sorterats ut från någon av ovan ACL'er.
Behöver jag verkligen denna? Finns det inte en default deny i slutet av alla access-listor?
Rätt/fel?