Discussion :

[ciscowarrior]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
R2# sh ip int br | exc una
Interface                  IP-Address      OK? Method Status                Protocol
FastEthernet0/0            10.0.0.2        YES manual up                    up
FastEthernet0/1            192.168.1.2     YES manual up                    up
R2#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R2(config)#access-list 100 deny icmp any any
R2(config)#int f0/1
R2(config-if)#ip access-group 101 out
R2(config-if)#do ping 192.168.1.3 rep 1

Type escape sequence to abort.
Sending 1, 100-byte ICMP Echos to 192.168.1.3, timeout is 2 seconds:
!

Comment faire pour que le ping échoue ?

[ram-0000]

Tu veux dire que dans l'exemple que tu présente, l'ACL ne s'applique que au trafic routé, pas au trafic généré par le routeur ? c'est cela, j'ai bon ?

Et tu voudrais donc que cette ACL s'applique non seulement au trafic routé mais en plus au trafic généré par le routeur ?

PS : je viens de compléter pour rajouter le résultat complet de la commande ping

[ciscowarrior]

Salut,

Oui tu as bien compris.

Rem:
do ping 192.168.1.3 rep 1

je n'ai envoyé que un echo-request donc je ne peux recevoir que un seul echo-reply

[ciscowarrior]

Voici comment faire:
Chez Cisco les ACL utilisées pour le filtrage du traffic quand elles sont appliquées dans la direction out ne prennent en compte que le traffic qui a transité par le routeur et pas le traffic généré par le routeur.
La solution est donc de transformer ce traffic généré localement en traffic de transit.
Pour cela nous allons:
1) créer une interface de loopback:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
int lo0 
ip address 1.1.1.1 255.255.255.255

2) diriger nos pings générés localement vers cette interface de loopback en utilisant une PBR locale:
a)création de la route-map pour le PBR

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
ip access-list extended ICMP_PBR
permit icmp any any
route-map ICMP_PBR 
match ip address ICMP_PBR
set interface lo0

b) application de la route-map

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

ip local policy route-map ICMP_PBR

3) testons:
-nous activons le debug pour PBR
-nous resettons le compteur des ACLs
-nous envoyons un ping sur 192.168.1.3
Nous constatons que le paquet a été policy routed et que le ping échoue,
nous voyons qu'il ya bien eu un hit sur l'ACL et donc nous avons réussi à dropper les paquets ICMP générés par le routeur avec notre ACL de départ.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
R2(config)#do debug ip policy
Policy routing debugging is on
R2(config)#do clear access-list counter
R2(config)#do ping 192.168.1.3 rep 1
Type escape sequence to abort.
Sending 1, 100-byte ICMP Echos to 192.168.1.3, timeout is 2 seconds:
U
Success rate is 0 percent (0/1)
R2(config)#
*Mar  1 00:04:58.767: IP: s=192.168.1.2 (local), d=192.168.1.3, len 100, policy match
*Mar  1 00:04:58.771: IP: route map ICMP_PBR, item 10, permit
*Mar  1 00:04:58.771: IP: s=192.168.1.2 (local), d=192.168.1.3 (Loopback0), len 100, policy routed
*Mar  1 00:04:58.775: IP: local to Loopback0 192.168.1.3
R2(config)#do sh access-list 101
R2(config)#do sh access-list 100
Extended IP access list 100
    10 deny icmp any any (1 match)

Débarassons-nous de ce Unreachable dans la réponse du ping:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
R2(config)#int lo0
R2(config-if)#no ip unreachables
R2(config-if)#do ping 192.168.1.3 rep 1
Type escape sequence to abort.
Sending 1, 100-byte ICMP Echos to 192.168.1.3, timeout is 2 seconds:
.

Alain

[ram-0000]

Rem:
do ping 192.168.1.3 rep 1

je n'ai envoyé que un echo-request donc je ne peux recevoir que un seul echo-reply

Je viens d'annuler ma modification dans ton post précédent (je pensais qu'il s'agissait d'un mauvais copier/coller)