...
- Src MAC - MAC адрес источника
- Dst MAC - MAC адрес назначения
- VLAN - Тэг в заголовке vlan
- COS - метка CoS согласно стандарту 802.1p
- Ethertype - идентификатор протокола вышестоящего уровня
- Src IP - IP адрес источника
- Dst IP - IP адрес назначения
- DSCP - метка QoS
- Precedence - приоритет в DS Field
- Proto ID - идентификатор протокола транспортного уровня
- Src port - порт источника, который использует протокол на транспортном уровне
- Dst port - порт назначения, который использует протокол на транспортном уровне
| Подсказка |
|---|
Access-list IP является более универсальным и поддерживает широкий список правил, в который, в том числе, входят правила уровня L2. |
...
Оба типа ACL работают по двум основным принципам: black list и white list.
В первом случае формируются правила запрета прохождения кадров на основе одного или нескольких критериев. Весь трафик, не подпадающий под логику запрещающих правил, будет пропущен.
Во втором случае формируется список разрешающих правил и трафик, не подпадающий под логику этого списка, будет отброшен.
Рассмотрим несколько примеров настройки.
Задача №1 : Запретить прохождения трафика для протоколов RPC , SSDP и mDNS.
Решение - сформировать black list на основе порта назначения протокола транспортного уровня. Правила будут выглядеть так:
| Блок кода |
|---|
access-list ip blacklist
deny udp any any any 135 index 1
deny udp any any any 1900 index 2
deny udp any any any 5353 index 3 |
Затем назначим его на pon-port :
| Блок кода |
|---|
interface pon-port 1
access-list ip "blacklist" |
Задача №2: Разрешить трафик из сетей 1.1.1.0 - 3.3.3.0 в сеть 5.0.0.0/8
Решение
| панель | ||
|---|---|---|
| ||
Связанные статьи
...