ho un router cisco 877 con due indirizzi ip
il primario e' 192.168.0.1/16 e il secondario e' 10.0.0.1/8
riescono a navigare sia le macchine della rete 192.168.*.* che le macchine 10.*.*.*
il problema e' che le macchina della rete 10.*.*.* riescono a pingare e vedere le macchine 192.168.*.*
come devo fare per bloccare il traffico tra la rete 10 e la 192.168 ?
cioe' per dire il pc 10.0.0.6 se pinga 192.168.0.15 deve risultare non raggiungibile
una acl?
mi date una mano?
grazie
acl per bloccare traffico tra 2 reti
Moderatore: Federico.Lagni
-
- Cisco pathologically enlightened user
- Messaggi: 203
- Iscritto il: lun 31 ott , 2005 6:10 pm
-
- Network Emperor
- Messaggi: 313
- Iscritto il: gio 25 ott , 2007 6:14 pm
A livello 3 basta una acl estesa del tipo
Questo ovviamente NON evita:
Se non hai uno switch managed puoi operare la separazione tramite due switch differenti, spostando le utenze tra gli switch. Sul'877 è permesso avere fino a 4 VLAN diverse in contemporanea, quindi crei una seconda VLAN , la applichi ad una porta del router e crei quindi una interfaccia VLAN con l'IP di una delle subnet. Quindi puoi applicare le acl per operare una vera e propria separazione delle reti.
Nel tuo caso la configurazione sarebbe:
Saluti
Codice: Seleziona tutto
access-list 100 deny 192.168.0.0 0.0.255.255 10.0.0.0 0.255.255.255
int vlan 1
access-group 100 in
- Gli IP della rete 10 raggiungono la rete 192.168
- I PC si vedono sfogliando la rete in quanto la comunicazione avviene via NetBIOS (livello datalink) o tramite multicast
- Non c'è protezione contro i broadcast o men che meno snif di pachetti, arp poisoning o altro
- E' impossibile implementare un DHCP locale su entrambe le reti
Se non hai uno switch managed puoi operare la separazione tramite due switch differenti, spostando le utenze tra gli switch. Sul'877 è permesso avere fino a 4 VLAN diverse in contemporanea, quindi crei una seconda VLAN , la applichi ad una porta del router e crei quindi una interfaccia VLAN con l'IP di una delle subnet. Quindi puoi applicare le acl per operare una vera e propria separazione delle reti.
Nel tuo caso la configurazione sarebbe:
Codice: Seleziona tutto
vlan 2
!
interface fast0
description Porta verso LAN 192.168
spanning-tree portfast
!
interface fast 1
descriptin porta verso LAN 10
switchport mode access
switchpotr access vlan 2
spanning-tree portfast
!
interface vlan1
description LAN 192.168
no ip add
ip address 192.168.0.1 255.255.0.0
!
int vlan 2
description LAN 10
ip address 10.0.0.1 255.0.0.0
access-group 100 in
!
access-list 100 deny 192.168.0.0 0.0.255.255 10.0.0.0 0.255.255.255
Lorbellu