Jump to content
Калькуляторы

ACL на Cisco

Что-то никак не соображу.

Есть маршрутизатор Cisco.

У него есть несколько десятков интерфейсов.

Я хочу разрешить ssh на одном интерфейсе (аплинке), разрешить icmp на остальных интерфейсах и запретить все остальное. Но при этом нужно не блокировать транзитный трафик (на сетевые узлы за интерфейсами).

Не пойму, как такое сделать, не перечисляя IP-адреса интерфейсов?

Share this post


Link to post
Share on other sites

access-list 11 permit host %yourremotehost%

Line vty 0 15

access-class 11 in

Transport input ssh

 

access-list 12 permit host %yourremotehost%

snmp-server comunity 123 Ro 12

 

И тому подобное для ntp и т.д.

Это самый верный способ закрытия внутренних сервисов

ACL на интерфейсах потребляют много лишних ресурсов из-за обработки всех приходящих пакетов и без надобности лучше их не использовать. А тут именно обработка по ip твоего роутера.

Edited by Xaool

Share this post


Link to post
Share on other sites

ACL на интерфейсах сильно много потребляют лишних ресурсов и без надобности лучше их не использовать.

 

зависит от платформы. на asr9k и asr1k оно(ACL) в железе. пока в tcam влезает - всё хорошо

 

на l3-свитчах тоже самое

Share this post


Link to post
Share on other sites

ACL на интерфейсах сильно много потребляют лишних ресурсов и без надобности лучше их не использовать.

 

зависит от платформы. на asr9k и asr1k оно(ACL) в железе. пока в tcam влезает - всё хорошо

 

на l3-свитчах тоже самое

 

Согласен, но я считаю, что если есть возможность не грузить, то не делть этого, какая бы платформа не была. :)

Share this post


Link to post
Share on other sites

Xaool

чего не грузить-то? если оно делается в железе, то ничего там не грузится, вешайте acl-и пока tcam не кончится. то, о чём вы говорите (тормоза из-за ACL) это беда всякого барахла типа c2801 и т.п. ну и старушки c7200

Share this post


Link to post
Share on other sites

ACL на Line вопрос конечно решает более правильно, но ssh был для примера. Мне все же нужен именно ACL на сетевом интерфейсе.

На сервере я бы задавал правила в цепочках forward и input, а можно ли это сделать на Cisco? И, кстати, у меня Cisco 7201.

Share this post


Link to post
Share on other sites

ACL на Line вопрос конечно решает более правильно, но ssh был для примера. Мне все же нужен именно ACL на сетевом интерфейсе.

На сервере я бы задавал правила в цепочках forward и input, а можно ли это сделать на Cisco? И, кстати, у меня Cisco 7201.

По идеологии киски лучше разные acl на разные интерфейсы и свои acl для внутренних сервисов.

Стоит помнить что acl out на интерфейсе не применяется к пакетам сгенерированных самой киской(OSPF например). Если ошибаюсь - поправьте.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.