Вы просматриваете старую версию данной страницы. Смотрите текущую версию.

Сравнить с текущим просмотр истории страницы

« Предыдущий Версия 11 Следующий »

Общая информация

ACL (Access Control List или Списки доступа) — набор правил, выполняющих фильтрацию трафика по определенным критериям. В качестве критериев могут выступать определенные MAC/IP-адреса или их диапазоны, номера портов TCP/UDP, ethertype, номер VLAN, метки 802.1p/DSCP и так далее. ACL распространяются как на транзитный трафик, проходящий через OLT без обработки, так и на трафик, обрабатываемый OLT (управление, трафик попадающий под DHCP/IGMP/PPPoE snooping).

Относительно OLT предыдущего поколения LTP-X, на OLT нового поколения функционал ACL переработан. Форма представления правил фильтрации упрощена, однако прежнее представление осталась логически прозрачным для новых устройств, что делает конфигурацию в области ACL конвертируемой между разными поколениями OLT и упрощает перенос данного блока конфигурации с OLT предыдущего поколения на новые.

На OLT предусмотрено 2 типа списков доступа: L2 ACL (MAC access-list) и L3 ACL (IP access-list).

L2 списки доступа MAC ACL содержат следующие критерии фильтрации:

  • Src MAC - MAC адрес источника;
  • Dst MAC - MAC адрес назначения;
  • VLAN - идентификатор VLAN;
  • COS - метка 802.1p CoS;
  • Ethertype - поле ethertype фрейма ethernet.

В свою очередь, L3 списки доступа IP ACL содержат все те же критерии, что и MAC ACL, а так же:

  • Src IP - IP адрес источника;
  • Dst IP - IP адрес назначения;
  • DSCP - метка DSCP QoS;
  • Precedence - приоритет в DS Field;
  • Proto ID -  идентификатор протокола транспортного уровня (TCP/UDP);
  • Src port - порт источника, который использует протокол на транспортном уровне;
  • Dst port - порт назначения, который использует протокол на транспортном уровне;

IP ACL является более универсальным и поддерживает широкий список критерий фильтрации трафик, включая все доступные критерии MAC ACL. Это позволяет обеспечить гибридную фильтрацию трафика на обоих уровнях в рамках одного ACL. Если требуется фильтровать трафик только по L2 критериям, рекомендуем использовать MAC ACL.



Настройка

Оба типа ACL работают по двум основным принципам: black list и white list.
В первом случае формируются правила запрета прохождения кадров на основе одного или нескольких критериев. Весь трафик, не подпадающий под логику запрещающих правил, будет пропущен.
Во втором случае формируется список разрешающих правил и трафик, не подпадающий под логику этого списка, будет отброшен.  


Рассмотрим несколько примеров настройки. 

Задача №1: Запретить прохождение PPPoE в сервисном vlan IPoE. Пусть тэг vlan равен 234.
Решение - сформируем black list на основе ethertype и vlan:

 access-list mac noPPPDo you have information what exactly problems they had?
    deny any any vlan 234 ethertype 0x8863 0xFFFF index 1
    deny any any vlan 234 ethertype 0x8864 0xFFFF index 2
 Значение 0xFFFF является маской для параметра ethertype.  
 Маска 0x0000 равнозначна any. Маска 0xFFFF соответствует одному конкретному ethertype.

Затем назначим его на pon-port :

    interface pon-port 1
        access-list mac "noPPP"

Любой вид ACL применим только ко входящему трафику. Если требуется запретить прохождение определенных пакетов в обе стороны, то такой лист нужно назначить как на uplink, так и на downlink интерфейсы. 


Задача №2: Разрешить трафик из сетей 1.1.1.0 - 3.3.3.0/24 в сеть 5.0.0.0/8
Решение - сформировать white list на основе IP-адресов источника и назначения:

 access-list ip whiteListIp
    permit any 1.1.1.0 255.255.255.0 5.0.0.0 255.0.0.0 index 1
    permit any 2.2.2.0 255.255.255.0 5.0.0.0 255.0.0.0 index 2
    permit any 3.3.3.0 255.255.255.0 5.0.0.0 255.0.0.0 index 3
    deny any any any index 4

Для формирования белого листа последним индексом всегда должно быть глобальное запрещающее правило.

Затем назначим его на pon-port :

    interface pon-port 1
        access-list ip "whiteListIp"
        access-list mac "noPPP"

На один интерфейс можно назначить по одному ACL каждого типа (MAC access-list и access-list IP).


Задача №3:  Запретить прохождения трафика для протоколов RPC , SSDP и mDNS. 
Решение - сформировать black list на основе порта назначения протокола транспортного уровня. Правила будут выглядеть так: 

 access-list ip NoRpcSsdpmDns
    deny udp any any any 135 index 1  
    deny udp any any any 1900 index 2
    deny udp any any any 5353 index 3

Затем назначим его на pon-port :

    interface pon-port 1
        access-list ip "NoRpcSsdpmDns"
        access-list mac "noPPP"




  • Нет меток