Discussion :

[ciscowarrior]

Comment peut-on filtrer le traffic sur un routeur Cisco sans appliquer d'ACL sur une interface.

[Miistik]

En mettant un firewall avant le routeur ?

Je pense à une route map mais il faut une acl.


Peut-être une QoS donnant toute la bande passante aux Vlans du LAN.

[ciscowarrior]

Salut,
Je n'ai pas dit que l'on ne devait pas utiliser d'ACL mais que l'on ne devait pas appliquer une ACL sur une interface avec la commande ip access-group.

Tu es sur de bonnes voies.

Alain

[Miistik]

Bah alors une route-map sur une interface avec une ACL.

Peut-être avec une ip source (réseau LAN) ou une métric 1

[ciscowarrior]

Salut,

1ère solution: PBR avec set interface null0
2ème solution: MQC(QoS) avec une clause drop dans la policy-map
3ème solution: configurer ZBF( zone Based Firewall)
4ème solution: jouer avec des VRF
5ème solution: donner des mauvais mappings L2-L3( MAC,DLCI)
6ème solution: installer une route statique en /32 qui pointe vers null0

Avec de l'imagination je pense qu'il y a surement encore d'autres moyens.

Je posterai un bout de code pour chaque solution au fur et à mesure, à moins que d'autres ne veuillent le faire aussi où ont d'autres solutions à proposer.

Plus on a d'outils à sa disposition pour effectuer une tâche mieux c'est.

[ciscowarrior]

Voici un exemple de configuration pour la première solution PBR
Nous avons deux routeurs reliés par une interface ethernet avec le réseau 10.0.0.0/8.Nous avons une interface de loopback sur R2( 2.2.2.2/24)
Nous voulons filtrer le ping de R1 vers la loopback mais pas l'interface ethernet.

Sur R2:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
access-list 100 permit icmp host 2.2.2.2 any
route-map FILTER_ICMP permit 10
 match ip address 100
 set interface Null0
ip local policy route-map FILTER_ICMP

Sur R1:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
R1(config)#do ping 10.0.0.2 rep 1

Type escape sequence to abort.
Sending 1, 100-byte ICMP Echos to 10.0.0.2, timeout is 2 seconds:
!
Success rate is 100 percent (1/1), round-trip min/avg/max = 160/160/160 ms
R1(config)#do ping 2.2.2.2 rep 1

Type escape sequence to abort.
Sending 1, 100-byte ICMP Echos to 2.2.2.2, timeout is 2 seconds:
.
Success rate is 0 percent (0/1)

Vérifions sur R2 pourquoi le ping vers 2.2.2.2 ne fonctionne pas:

R2(config-if)#do sh debug

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
Policy Routing:
  Policy routing debugging is on



R2(config-if)#
*Mar  1 00:49:20.123: IP: s=10.0.0.2 (local), d=10.0.0.1, len 100, policy rejected -- normal forwarding
R2(config-if)#
*Mar  1 00:49:22.315: IP: s=2.2.2.2 (local), d=10.0.0.1, len 100, policy match
*Mar  1 00:49:22.319: IP: route map FILTER_ICMP, item 10, permit
*Mar  1 00:49:22.319: IP: s=2.2.2.2 (local), d=10.0.0.1 (Null0), len 100, policy routed