Comment peut-on filtrer le traffic sur un routeur Cisco sans appliquer d'ACL sur une interface.
Comment peut-on filtrer le traffic sur un routeur Cisco sans appliquer d'ACL sur une interface.
En mettant un firewall avant le routeur ?
Je pense à une route map mais il faut une acl.
Peut-être une QoS donnant toute la bande passante aux Vlans du LAN.
Si la réponse vous a été donnée, pensez au Tag .
Un petit aide à se sentir utile. Merci.
"La folie. C'est de faire et refaire la même chose en espérant que le résultat sera différent."
Albert Einstein
Salut,
Je n'ai pas dit que l'on ne devait pas utiliser d'ACL mais que l'on ne devait pas appliquer une ACL sur une interface avec la commande ip access-group.
Tu es sur de bonnes voies.
Alain
Bah alors une route-map sur une interface avec une ACL.
Peut-être avec une ip source (réseau LAN) ou une métric 1
Si la réponse vous a été donnée, pensez au Tag .
Un petit aide à se sentir utile. Merci.
"La folie. C'est de faire et refaire la même chose en espérant que le résultat sera différent."
Albert Einstein
Salut,
1ère solution: PBR avec set interface null0
2ème solution: MQC(QoS) avec une clause drop dans la policy-map
3ème solution: configurer ZBF( zone Based Firewall)
4ème solution: jouer avec des VRF
5ème solution: donner des mauvais mappings L2-L3( MAC,DLCI)
6ème solution: installer une route statique en /32 qui pointe vers null0
Avec de l'imagination je pense qu'il y a surement encore d'autres moyens.
Je posterai un bout de code pour chaque solution au fur et à mesure, à moins que d'autres ne veuillent le faire aussi où ont d'autres solutions à proposer.
Plus on a d'outils à sa disposition pour effectuer une tâche mieux c'est.
Voici un exemple de configuration pour la première solution PBR
Nous avons deux routeurs reliés par une interface ethernet avec le réseau 10.0.0.0/8.Nous avons une interface de loopback sur R2( 2.2.2.2/24)
Nous voulons filtrer le ping de R1 vers la loopback mais pas l'interface ethernet.
Sur R2:
Sur R1:
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5 access-list 100 permit icmp host 2.2.2.2 any route-map FILTER_ICMP permit 10 match ip address 100 set interface Null0 ip local policy route-map FILTER_ICMP
Vérifions sur R2 pourquoi le ping vers 2.2.2.2 ne fonctionne pas:
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12 R1(config)#do ping 10.0.0.2 rep 1 Type escape sequence to abort. Sending 1, 100-byte ICMP Echos to 10.0.0.2, timeout is 2 seconds: ! Success rate is 100 percent (1/1), round-trip min/avg/max = 160/160/160 ms R1(config)#do ping 2.2.2.2 rep 1 Type escape sequence to abort. Sending 1, 100-byte ICMP Echos to 2.2.2.2, timeout is 2 seconds: . Success rate is 0 percent (0/1)
R2(config-if)#do sh debug
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11 Policy Routing: Policy routing debugging is on R2(config-if)# *Mar 1 00:49:20.123: IP: s=10.0.0.2 (local), d=10.0.0.1, len 100, policy rejected -- normal forwarding R2(config-if)# *Mar 1 00:49:22.315: IP: s=2.2.2.2 (local), d=10.0.0.1, len 100, policy match *Mar 1 00:49:22.319: IP: route map FILTER_ICMP, item 10, permit *Mar 1 00:49:22.319: IP: s=2.2.2.2 (local), d=10.0.0.1 (Null0), len 100, policy routed
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Partager