Сравнение версий

Старая версия 1

changes.mady.by.user Сервисный центр xPON

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Сервисный центр xPON

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

В статье будет рассмотрена настройка ACL для управляющих каналов LTP-N; LTX.

Подсказка

Статья не рассмтривает настройку непосредственно management-access list. Она рассмтривает ограничение доступа во vlan управления средствами правил универсального ACL.


Задача

Ограничить доступ по Telnet, SSH, SNMP и HTTP для всех устройств, не принадлежащих к подсети 192.168.11.0/24 во vlan управления с помощью SNMP.
Community стандартные. В качестве MGMT-vlan выступает 3470.  IP LTP 192.168.11.88. В качестве Uplink-порта используется Front-port 1.

Решение

Для ограничения подключений по всем указанным в задаче протоколам необходимо сформировать access-list IP на основе параметров vlan, Src IP, Dst port.
Чтобы сформировать access-list IP и назначить его на Uplink-интерфейсы потребуются следующие таблицы MIB : 

OIDOID в числовом формате
 oltNgNetworkAccessListTable  .1.3.6.1.4.1.35265.1.209.3.10
 oltNgNetworkAccessListIpRuleTable .1.3.6.1.4.1.35265.1.209.3.12
 oltNgNetworkAccessListInterfaceTable .1.3.6.1.4.1.35265.1.209.3.13
 oltNgSystemOperationConfigOperations .1.3.6.1.4.1.35265.1.209.2.1.100

 Выполнение

Синтаксис команды для формирования ACL в конфигурации : 

...

  • <list_ID> – индекс access-list;
  • <name> – название списка.
  • <rw_community> – Read-write community.
  • <ipaddr> – IP OLT.
OIDOID в числовом формате
 oltNgNetworkAccessListRowStatus  .1.3.6.1.4.1.35265.1.209.3.10.1.4
 oltNgNetworkAccessListName .1.3.6.1.4.1.35265.1.209.3.10.1.3

Создадим access-list с названием MGMT

...

  • <list_ID> – индекс access-list;
  • <rule_ID> – индекс правила внутри access-list;
  • <permit/deny> – выбор действия. permit соответствует 1, deny соответствует 2;
  • <rw_community> – Read-write community;
  • <vlanID> - тег vlan управления;
  • <ipaddr> – IP OLT;
  • <src_ipaddr> – IP разрешенной для подключения подсети;
OIDOID в числовом формате
 oltNgNetworkAccessListIpRuleRowStatus  .1.3.6.1.4.1.35265.1.209.3.12.1.22
 oltNgNetworkAccessListIpRuleAction .1.3.6.1.4.1.35265.1.209.3.12.1.3
 oltNgNetworkAccessListIpRuleProtocol .1.3.6.1.4.1.35265.1.209.3.12.1.4
 oltNgNetworkAccessListIpRuleSourceIpAddress.1.3.6.1.4.1.35265.1.209.3.12.1.5
 oltNgNetworkAccessListIpRuleSourceIpMask.1.3.6.1.4.1.35265.1.209.3.12.1.6
 oltNgNetworkAccessListIpRuleVlanId .1.3.6.1.4.1.35265.1.209.3.12.1.17
 oltNgNetworkAccessListIpRuleDestinationPort.1.3.6.1.4.1.35265.1.209.3.12.1.10

Создадим разрешающие правила для каждого из протоколов управления.  

...

Примечание

Для удаления правила из ACL предусмотрена команда snmpset -v2c -c <rw_community> <ipaddr> <rw_community> <ipaddr> oltNgNetworkAccessListIpRuleRowStatus.<list<list_ID>ID>.<rule<rule_ID> ID> i 6
Пример команды для удаления правила с 6 индексом :

Блок кода
snmpset -v2c -c private 192.168.11.88 .1.3.6.1.4.1.35265.1.209.3.12.1.22.1.1 i 6
iso.3.6.1.4.1.35265.1.209.3.12.1.22.1.1 = INTEGER: 6

 

...

  • <rw_community> – Read-write community;
  • <ipaddr> – IP OLT;
  • <port> – номер порта:
    • Нумерация портов для LTP-16N - (pon-ports 1-16; front-ports 17-24)
    • Для LTX-16 - (pon-ports 1-16; front-ports 17-24)
    • Для LTP-8N и LTX-8 - (pon-ports 1-8; front-ports 9-12)
  • <list_type> – тип списка. ip соответствует 1, mac соответствует 2;
  • <name> – имя листа.
OIDOID в числовом формате
  oltNgNetworkAccessListInterfaceRowStatus .1.3.6.1.4.1.35265.1.209.3.13.1.4
 oltNgNetworkAccessListInterfaceName .1.3.6.1.4.1.35265.1.209.3.13.1.3

Назначим сформированный ACL на Uplink Front-port 1.

...

Примечание

Для удаления ACL с интерфейса используется команда  snmpset -v2c -c <rw_community> <ipaddr> oltNgNetworkAccessListInterfaceRowStatus.<list_ID>.<port>.<list_type> <rw_community> <ipaddr> oltNgNetworkAccessListInterfaceRowStatus.<port>.<list_type> i 6
Например для удаления с front-port 1 :

Блок кода
snmpset -v2c -c private 192.168.1.2 .1.3.6.1.4.1.35265.1.209.3.13.1.4.17.1 i 6
iso.3.6.1.4.1.35265.1.209.3.13.1.4.17.1 = INTEGER: 6

 

...

Осталось применить и сохранить изменения в конфигурации. Для этого используются команды следующего формата:
snmpset -v2c -c <rw<rw_community> community> -t 20 <ipaddr> <ipaddr> oltNgSystemOperationConfigOperationsCommit.0 i 1
snmpset -v2c -c <rw<rw_community> community> -t 20 <ipaddr> <ipaddr> oltNgSystemOperationConfigOperationsSave.0 i 1

...

  • <rw_community> – Read-write community;
  • <ipaddr> – IP OLT;
OIDOID в числовом формате
 oltNgSystemOperationConfigOperationsCommit  .1.3.6.1.4.1.35265.1.209.2.1.100.1
 oltNgSystemOperationConfigOperationsSave .1.3.6.1.4.1.35265.1.209.2.1.100.2

Сохраним и применим изменения.

...