Сравнение версий

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Подсказка

Access-list IP является более универсальным и поддерживает широкий список правил, в который, в том числе, входят правила уровня L2.
Такая возможность предусмотрена для гибридной фильтрации трафика на обоих уровнях в рамках одного листа

Примечание

Если требуется фильтровать трафик только на канальном уровне, то рекомендуем использовать MAC access-list.

...

Рассмотрим несколько примеров настройки. 

Задача №1: Запретить прохождение PPPoE в сервисном vlan IPoE. Пусть тэг vlan равен 234.
Решение - сформируем black list на основе ethertype и vlan:

Блок кода
 access-list mac noPPP
    deny any any vlan 234 ethertype 0x8863 0xFFFF index 1
    deny any any vlan 234 ethertype 0x8864 0xFFFF index 2
Подсказка
 Значение 0xFFFF является маской для параметра ethertype.  
 Маска 0x0000 равнозначна any. Маска 0xFFFF соответствует одному конкретному ethertype.

Затем назначим его на pon-port :

Блок кода
    interface pon-port 1
        access-list mac "noPPP"


Задача №2: Разрешить трафик из сетей 1.1.1.0 - 3.3.3.0/24 в сеть 5.0.0.0/8
Решение - сформировать white list на основе IP-адресов источника и назначения:

Блок кода
 access-list ip whiteListIp
    permit any 1.1.1.0 255.255.255.0 5.0.0.0 255.0.0.0 index 1
    permit any 2.2.2.0 255.255.255.0 5.0.0.0 255.0.0.0 index 2
    permit any 3.3.3.0 255.255.255.0 5.0.0.0 255.0.0.0 index 3

Затем назначим его на pon-port :

Блок кода
    interface pon-port 1
        access-list ip "whiteListIp"
        access-list mac "noPPP"


Задача №3:  Запретить прохождения трафика для протоколов RPC , SSDP и mDNS. 
Решение - сформировать black list на основе порта назначения протокола транспортного уровня. Правила будут выглядеть так: 

Блок кода
    access-list ip blacklistNoRpcSsdpmDns
           deny udp any any any 135 index 1  
        deny udp any any any 1900 index 2
        deny udp any any any 5353 index 3

...

Блок кода
    interface pon-port 1
        access-list ip "NoRpcSsdpmDns"
        access-list mac "blacklistnoPPP"

Задача №2: Разрешить трафик из сетей 1.1.1.0 - 3.3.3.0 в сеть 5.0.0.0/8

Решение

...

Примечание

На один интефрейс можно назначить по одному ACL каждого типа (MAC access-list и access-list IP).





Решение


Связанные статьи

Содержимое по меткам
showLabelsfalse
max5
spacesEKB
showSpacefalse
sortmodified
reversetrue
typepage
cqllabel in ("acl","ltx","ltpn") and type = "page" and space = "EKB"
labelsACL LTPN LTX

...