Una Access Control List (ACL) è un elenco ordinato di regole — chiamate ACE (Access Control Entry) — che un router Cisco usa per decidere se permettere (permit) o negare (deny) il transito di un pacchetto su una propria interfaccia.
Le ACL operano come un filtro sequenziale: ogni pacchetto che transita sull’interfaccia configurata viene confrontato con le ACE nell’ordine in cui sono scritte, dall’alto verso il basso, fino alla prima corrispondenza. Da quel momento la decisione è presa e il pacchetto viene gestito di conseguenza, senza esaminare le regole successive.
📌 ACL ≠ Firewall stateful
Le ACL su router Cisco sono stateless: analizzano ogni pacchetto singolarmente, senza memoria dello stato della connessione TCP. Sono più simili a un filtro pacchetti di prima generazione che a un firewall moderno. Per una protezione completa, le ACL si usano in combinazione con firewall stateful o NGFW.
Cosa può fare un’ACL — casi d’uso principali
Utilizzi tipici delle ACL su router Cisco
Sicurezza perimetrale
Bloccare indirizzi IP non autorizzati, isolare reparti aziendali, proteggere server critici
Controllo del traffico
Limitare aggiornamenti di routing a sorgenti note, bloccare traffico video per ridurre il carico di rete
Filtraggio per tipo
Permettere solo email (SMTP), bloccare Telnet (porta 23), limitare FTP a specifici utenti
NAT e VPN
Identificare il traffico da sottoporre a NAT o a cifratura VPN tramite access-list di classificazione
QoS
Identificare il traffico VoIP per dargli priorità e garantire qualità del servizio
Logica di funzionamento — la sequenza delle ACE
Comprendere la logica sequenziale è il punto più critico per configurare correttamente un’ACL. Seguiamo il percorso di un pacchetto:
1
Il router estrae le informazioni rilevanti dall’header del pacchetto (IP sorgente per ACL standard; IP, protocollo e porte per ACL estese)
2
Confronta con la prima ACE dell’ACL. Corrispondenza? → applica l’azione (permit o deny) e STOP, le ACE successive non vengono lette
3
Nessuna corrispondenza con la prima ACE? → passa alla seconda, poi alla terza, e così via
!
Se nessuna ACE corrisponde → si applica il deny implicito: il pacchetto viene scartato silenziosamente
⚠️ Il deny implicito — l’errore più comune
Ogni ACL Cisco termina con un deny any implicito che non compare nella configurazione ma è sempre presente. Se si crea un’ACL con sole istruzioni di deny senza nessuna di permit, tutto il traffico verrà bloccato — incluso il traffico di gestione del router stesso.
⚑ Regola pratica: ogni ACL deve contenere almeno una istruzione permit, altrimenti blocca tutto.
Esempio visivo — logica sequenziale
ACL 10 — cosa succede a tre pacchetti diversi
access-list 10 deny 192.168.1.0 0.0.0.255! ACE 1 — nega la rete 192.168.1.0/24access-list 10 permit 192.168.0.0 0.0.0.255! ACE 2 — permette la rete 192.168.0.0/24! ACE 3 (implicita) — deny any
Pacchetto da 192.168.0.5
✅ PERMIT
ACE 1: no match → ACE 2: match su 192.168.0.0/24 → permesso
Pacchetto da 192.168.1.10
❌ DENY
ACE 1: match su 192.168.1.0/24 → negato (non legge ACE 2)
Pacchetto da 10.0.0.5
❌ DENY
ACE 1: no match → ACE 2: no match → deny implicito
Classificazione delle ACL
ACL Standard
Numeri: 1–99 e 1300–1999
Filtrano il traffico solo in base all’indirizzo IP sorgente. Non possono distinguere il protocollo né la porta di destinazione.
Parametri disponibili:
IP sorgente
Wildcard mask
Permit / Deny
⚑ Va applicata vicino alla destinazione
ACL Estesa
Numeri: 100–199 e 2000–2699
Filtrano in base a IP sorgente, IP destinazione, protocollo e porta. Controllo molto più granulare.
Parametri disponibili:
IP sorgente e destinazione
Protocollo (TCP, UDP, ICMP, IP)
Porta (eq, gt, lt, range)
⚑ Va applicata vicino alla sorgente
La Wildcard Mask — il cuore delle ACL
La wildcard mask (maschera con caratteri jolly) è il meccanismo che determina quali bit dell’indirizzo IP devono corrispondere per attivare una ACE. La logica è opposta alla subnet mask:
Bit 0 nella wildcard
Deve corrispondere Il bit dell’indirizzo viene controllato
Bit 1 nella wildcard
Viene ignorato Il bit dell’indirizzo non viene controllato
📌 Come calcolare la wildcard mask
La wildcard mask si ottiene sottraendo la subnet mask da 255.255.255.255:
opzionale — se omessa, assume 0.0.0.0 (host singolo)
Esempio 1 — Bloccare una rete, permettere tutto il resto
Scenario: bloccare la rete 192.168.1.0/24, permettere tutto il resto
! Step 1 — Definisci l'ACL
Router(config)# access-list 10 deny 192.168.1.0 0.0.0.255
Router(config)# access-list 10 permit any
! Step 2 — Applicala sull'interfaccia verso la DESTINAZIONE
Router(config)# interface GigabitEthernet0/1
Router(config-if)# ip access-group 10 in
Router(config-if)# exit
L’ACL 10 viene applicata in ingresso sull’interfaccia G0/1. I pacchetti provenienti da 192.168.1.0/24 vengono bloccati appena entrano nell’interfaccia.
Esempio 2 — Bloccare un singolo host
Scenario: bloccare solo il PC 192.168.1.55, permettere il resto della rete
Router(config)# access-list 11 denyhost 192.168.1.55
Router(config)# access-list 11 permit 192.168.1.0 0.0.0.255
Router(config)# interface GigabitEthernet0/0
Router(config-if)# ip access-group 11 in
ACL standard con nome
Le ACL con nome sono preferibili a quelle numeriche perché il nome descrive lo scopo e permettono di modificare singole ACE senza riscrivere l’intera ACL.
Sintassi e esempio ACL con nome
! Definizione
Router(config)# ip access-list standard BLOCCA-CONTABILITA
Router(config-std-nacl)# deny 192.168.5.0 0.0.0.255
Router(config-std-nacl)# permit any
Router(config-std-nacl)# exit
! Applicazione
Router(config)# interface GigabitEthernet0/2
Router(config-if)# ip access-group BLOCCA-CONTABILITA in
Perché le ACL standard vanno applicate vicino alla destinazione
Questo è un concetto fondamentale per l’esame di Stato. Poiché le ACL standard possono filtrare solo in base all’IP sorgente, applicarle vicino alla sorgente potrebbe bloccare traffico legittimo verso altre destinazioni.
Scenario esplicativo
Rete con tre segmenti: LAN-A (192.168.1.0/24), LAN-B (192.168.2.0/24), Server Farm (10.0.0.0/24).
Obiettivo: impedire a LAN-A di accedere alla Server Farm, ma permettere l’accesso a LAN-B.
❌ Sbagliato — ACL vicino alla sorgente
Se applico deny 192.168.1.0 sull’interfaccia di Router-A verso LAN-A, blocco tutto il traffico di LAN-A — incluso quello verso LAN-B che dovrebbe essere permesso.
✅ Corretto — ACL vicino alla destinazione
Applico deny 192.168.1.0 sull’interfaccia di Router-SF verso la Server Farm. LAN-A può ancora raggiungere LAN-B, ma non la Server Farm.
Verifica e monitoraggio delle ACL
Comandi show essenziali
show access-lists
Mostra tutte le ACL configurate con il contatore dei match per ogni ACE — fondamentale per il debug
show access-lists 10
Mostra solo l’ACL numero 10
show ip interface Gi0/1
Mostra quale ACL è applicata sull’interfaccia G0/1 e in quale direzione (in/out)
no access-list 10
Rimuove completamente l’ACL 10 — attenzione: non è possibile rimuovere singole ACE da un’ACL numerata
📌 Output del comando show access-lists
Router# show access-lists
Standard IP access list 10
10 deny 192.168.1.0, wildcard bits 0.0.0.255 (15 matches)
20 permit any (142 matches)
I contatori dei match sono preziosi: se una ACE ha sempre 0 match, probabilmente è mal posizionata o non raggiungibile per via di una regola precedente più generale.
📌 Riepilogo — Punti chiave
Un’ACL è una lista ordinata di ACE: il router confronta ogni pacchetto con le regole in sequenza e si ferma alla prima corrispondenza
Il deny implicito finale è sempre presente ma invisibile — ogni ACL deve avere almeno un permit per non bloccare tutto
La wildcard mask ha logica opposta alla subnet mask: bit 0 = controlla, bit 1 = ignora. Si calcola come 255.255.255.255 − subnet mask
Le ACL standard filtrano solo per IP sorgente → devono essere applicate vicino alla destinazione per evitare di bloccare traffico verso altre reti
Il comando show access-lists mostra le ACL con i contatori dei match per ogni ACE — strumento essenziale per il debug
Questo sito Web utilizza i cookie per migliorare la tua esperienza.Supponiamo che tu stia bene con questo, ma puoi rinunciare se lo desideri.
Read More
I cookie sono piccoli file di testo che possono essere utilizzati dai siti Web per rendere più efficiente l'esperienza dell'utente.La legge afferma che possiamo archiviare i cookie sul tuo dispositivo se sono rigorosamente necessari per il funzionamento di questo sito.Per tutti gli altri tipi di cookie, abbiamo bisogno del tuo permesso.Questo sito utilizza diversi tipi di cookie.Alcuni cookie sono collocati da servizi di terze parti che appaiono nelle nostre pagine.
I cookie necessari aiutano a rendere utilizzabile un sito Web consentendo funzioni di base come la navigazione di pagina e l\'accesso alle aree sicure del sito Web.Il sito Web non può funzionare correttamente senza questi cookie.
I cookie di marketing vengono utilizzati per tenere traccia dei visitatori sui siti Web.L\'intenzione è quella di visualizzare annunci pertinenti e coinvolgenti per il singolo utente e quindi più preziosi per gli editori e gli inserzionisti di terze parti.
I cookie di analisi aiutano i proprietari di siti Web a capire come i visitatori interagiscono con i siti Web raccogliendo e segnalando informazioni in modo anonimo.
I cookie di preferenza consentono a un sito Web di ricordare le informazioni che cambiano il modo in cui il sito Web si comporta o sembra, come la tua lingua preferita o la regione in cui ti trovi.
I cookie non classificati sono cookie che stiamo classificando, insieme ai fornitori di singoli cookie.
Cookie Settings
Gestisci Consenso
Per fornire le migliori esperienze, utilizziamo tecnologie come i cookie per memorizzare e/o accedere alle informazioni del dispositivo. Il consenso a queste tecnologie ci permetterà di elaborare dati come il comportamento di navigazione o ID unici su questo sito. Non acconsentire o ritirare il consenso può influire negativamente su alcune caratteristiche e funzioni.
Funzionale
Sempre attivo
L'archiviazione tecnica o l'accesso sono strettamente necessari al fine legittimo di consentire l'uso di un servizio specifico esplicitamente richiesto dall'abbonato o dall'utente, o al solo scopo di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica.
Preferenze
L'archiviazione tecnica o l'accesso sono necessari per lo scopo legittimo di memorizzare le preferenze che non sono richieste dall'abbonato o dall'utente.
Statistiche
L'archiviazione tecnica o l'accesso che viene utilizzato esclusivamente per scopi statistici.L'archiviazione tecnica o l'accesso che viene utilizzato esclusivamente per scopi statistici anonimi. Senza un mandato di comparizione, una conformità volontaria da parte del vostro Fornitore di Servizi Internet, o ulteriori registrazioni da parte di terzi, le informazioni memorizzate o recuperate per questo scopo da sole non possono di solito essere utilizzate per l'identificazione.
Marketing
L'archiviazione tecnica o l'accesso sono necessari per creare profili di utenti per inviare pubblicità, o per tracciare l'utente su un sito web o su diversi siti web per scopi di marketing simili.