Перейти к содержимому
Калькуляторы

ACL на Cisco

Что-то никак не соображу.

Есть маршрутизатор Cisco.

У него есть несколько десятков интерфейсов.

Я хочу разрешить ssh на одном интерфейсе (аплинке), разрешить icmp на остальных интерфейсах и запретить все остальное. Но при этом нужно не блокировать транзитный трафик (на сетевые узлы за интерфейсами).

Не пойму, как такое сделать, не перечисляя IP-адреса интерфейсов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

access-list 11 permit host %yourremotehost%

Line vty 0 15

access-class 11 in

Transport input ssh

 

access-list 12 permit host %yourremotehost%

snmp-server comunity 123 Ro 12

 

И тому подобное для ntp и т.д.

Это самый верный способ закрытия внутренних сервисов

ACL на интерфейсах потребляют много лишних ресурсов из-за обработки всех приходящих пакетов и без надобности лучше их не использовать. А тут именно обработка по ip твоего роутера.

Изменено пользователем Xaool

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ACL на интерфейсах сильно много потребляют лишних ресурсов и без надобности лучше их не использовать.

 

зависит от платформы. на asr9k и asr1k оно(ACL) в железе. пока в tcam влезает - всё хорошо

 

на l3-свитчах тоже самое

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ACL на интерфейсах сильно много потребляют лишних ресурсов и без надобности лучше их не использовать.

 

зависит от платформы. на asr9k и asr1k оно(ACL) в железе. пока в tcam влезает - всё хорошо

 

на l3-свитчах тоже самое

 

Согласен, но я считаю, что если есть возможность не грузить, то не делть этого, какая бы платформа не была. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Xaool

чего не грузить-то? если оно делается в железе, то ничего там не грузится, вешайте acl-и пока tcam не кончится. то, о чём вы говорите (тормоза из-за ACL) это беда всякого барахла типа c2801 и т.п. ну и старушки c7200

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ACL на Line вопрос конечно решает более правильно, но ssh был для примера. Мне все же нужен именно ACL на сетевом интерфейсе.

На сервере я бы задавал правила в цепочках forward и input, а можно ли это сделать на Cisco? И, кстати, у меня Cisco 7201.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

alibek

у Cisco аналог iptables INPUT это либо acl-ки на всяческие line-ы, либо CoPP. CoPP надёжнее

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ACL на Line вопрос конечно решает более правильно, но ssh был для примера. Мне все же нужен именно ACL на сетевом интерфейсе.

На сервере я бы задавал правила в цепочках forward и input, а можно ли это сделать на Cisco? И, кстати, у меня Cisco 7201.

По идеологии киски лучше разные acl на разные интерфейсы и свои acl для внутренних сервисов.

Стоит помнить что acl out на интерфейсе не применяется к пакетам сгенерированных самой киской(OSPF например). Если ошибаюсь - поправьте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Понятно.

Жаль, я думал, что в C7201 все же есть настоящий файрвол.

Ну значит буду вешать ACL на сервисы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.