Общая информация
ACL (Access Control List )или Списки доступа) — набор правил, выполняющих фильтрацию трафика по определенным критериям. В качестве критериев могут выступать определенные MAC/IP-адреса или их диапазоны, номера портов TCP/UDP, ethertype, номер VLAN, метки 802.1p/DSCP и так далее. ACL распространяются как на транзитный трафик, проходящий через OLT без обработки, так и на трафик, обрабатываемый OLT (управление, трафик попадающий под DHCP/IGMP/PPPoE snooping).
Относительно OLT предыдущего поколения LTP-X, на OLT нового поколения функционал ACL это инструмент фильтрации трафика в виде упорядоченного набор правил, который основывается на определённых критериях с целью обеспечения безопасности и управления потоками данных.
На устройствах серии LTP-N и LTX функционал ACL был переработан. Форма представления правил фильтрации была упрощена относительно предыдущих моделей LTP-X, однако их старая форма представления прежнее представление осталась логически прозрачной прозрачным для новых устройств, что делает конфигурацию в области ACL авто- конвертируемой между разными поколениями OLT и упрощает перенос настроек с предыдущих моделей на LTP-N; LTX.
Функционал ACL можно разделить на 2 основных типа по уровню взаимодействия систем - L2 и L3.
Layer 2
данного блока конфигурации с OLT предыдущего поколения на новые.
На OLT предусмотрено 2 типа списков доступа: L2 ACL (MAC access-list) и L3 ACL (IP access-list).
L2 списки доступа MAC ACL содержат Для фильтрации на канальном уровне предусмотрен MAC access-list. Он поддерживает следующие критерии фильтрации:
- Src MAC - MAC адрес источника;
- Dst MAC - MAC адрес назначения;
- VLAN - Тэг в заголовке vlanидентификатор VLAN;
- COS - метка CoS согласно стандарту 802.1p CoS;
- Ethertype - тип сетевого протокола
Layer 3
Для фильтрации пакетов данных на сетевом уровне предусмотрен access-list IP. В него входят :
...
- поле ethertype фрейма ethernet.
В свою очередь, L3 списки доступа IP ACL содержат все те же критерии, что и MAC ACL, а так же:
...
- Src IP - IP адрес источника;
- Dst IP - IP адрес назначения;
- DSCP - метка DSCP QoS;
- Precedence - приоритет в DS Field;
- Proto ID - идентификатор протокола транспортного уровня (TCP/UDP);
- Src port - порт источника, который использует протокол на транспортном уровне;
- Dst port - порт назначения, который использует протокол на транспортном уровне;
| Подсказка |
|---|
Access-list IP ACL является более универсальным и поддерживает широкий список правил, в который, в том числе, входят правила уровня L2. |
| Примечание |
Если требуется фильтровать трафик только на канальном уровне, то рекомендуем использовать MAC access-listпо L2 критериям, рекомендуем использовать MAC ACL. |
Настройка
Оба типа ACL работают по двум основным принципам: black list и white list.
В первом случае формируются правила запрета прохождения кадров на основе одного или нескольких критериев. Весь трафик, не подпадающий под логику запрещающих правил, будет пропущен.
Во втором случае формируется список разрешающих правил и трафик, не подпадающий под логику этого списка, будет отброшен.
...
Задача №1: Запретить прохождение PPPoE в сервисном vlan IPoE. Пусть тэг vlan равен 234.
Решение - сформируем black list на основе ethertype и vlan:
| Блок кода |
|---|
access-list mac noPPP noPPPDo you have information what exactly problems they had? deny any any vlan 234 ethertype 0x8863 0xFFFF index 1 deny any any vlan 234 ethertype 0x8864 0xFFFF index 2 |
...
| Блок кода |
|---|
interface pon-port 1
access-list ip "NoRpcSsdpmDns"
access-list mac "noPPP" |
Связанные статьи
| Содержимое по меткам | ||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
| Свойства страницы | ||
|---|---|---|
| ||
| Связанный запросы |