acl per bloccare traffico tra 2 reti

Configurazioni per connettività ADSL, ISDN e switch per privati e piccole network

Moderatore: Federico.Lagni

Rispondi
consultazione
Cisco pathologically enlightened user
Messaggi: 203
Iscritto il: lun 31 ott , 2005 6:10 pm

ho un router cisco 877 con due indirizzi ip
il primario e' 192.168.0.1/16 e il secondario e' 10.0.0.1/8

riescono a navigare sia le macchine della rete 192.168.*.* che le macchine 10.*.*.*

il problema e' che le macchina della rete 10.*.*.* riescono a pingare e vedere le macchine 192.168.*.*

come devo fare per bloccare il traffico tra la rete 10 e la 192.168 ?
cioe' per dire il pc 10.0.0.6 se pinga 192.168.0.15 deve risultare non raggiungibile

una acl?
mi date una mano?
grazie
lorbellu
Network Emperor
Messaggi: 313
Iscritto il: gio 25 ott , 2007 6:14 pm

A livello 3 basta una acl estesa del tipo

Codice: Seleziona tutto

access-list 100 deny 192.168.0.0 0.0.255.255 10.0.0.0 0.255.255.255
int vlan 1
 access-group 100 in
Questo ovviamente NON evita:
  1. Gli IP della rete 10 raggiungono la rete 192.168
  2. I PC si vedono sfogliando la rete in quanto la comunicazione avviene via NetBIOS (livello datalink) o tramite multicast
  3. Non c'è protezione contro i broadcast o men che meno snif di pachetti, arp poisoning o altro
  4. E' impossibile implementare un DHCP locale su entrambe le reti
Per separare le reti, devi operare a livello 2, basta applicare due VLAN differenti.
Se non hai uno switch managed puoi operare la separazione tramite due switch differenti, spostando le utenze tra gli switch. Sul'877 è permesso avere fino a 4 VLAN diverse in contemporanea, quindi crei una seconda VLAN , la applichi ad una porta del router e crei quindi una interfaccia VLAN con l'IP di una delle subnet. Quindi puoi applicare le acl per operare una vera e propria separazione delle reti.
Nel tuo caso la configurazione sarebbe:

Codice: Seleziona tutto

vlan 2
!
interface fast0
 description Porta verso LAN 192.168
 spanning-tree portfast
!
interface fast 1
 descriptin porta verso LAN 10
 switchport mode access
 switchpotr access vlan 2
 spanning-tree portfast
!
interface vlan1
 description LAN 192.168
 no ip add
 ip address 192.168.0.1 255.255.0.0
!
int vlan 2
 description LAN 10
 ip address 10.0.0.1 255.0.0.0
access-group 100 in
!
access-list 100 deny 192.168.0.0 0.0.255.255 10.0.0.0 0.255.255.255
Saluti
Lorbellu
Rispondi