В данной статье мы разберём принципы настройки ACL на маршрутизаторах МЕ.
Создать ACL можно командой: "ipv4 access-list [Name]" - В качестве названия ACL можно использовать до 63 символов.
ipv4 access-list example <-----Название ACL seq-num 1 action deny source 192.168.0.0/16 exit exit
По умолчанию ACL пропускает весь трафик.
На маршрутизаторах ME отсутствует возможность сконфигурировать description для всего ACL, но вы можете задать описание для каждого правила используя "remark".
ipv4 access-list example_2 seq-num 10 remark Allow_10.10.10.1 <-----Описание source 10.10.10.1 exit seq-num 100 action deny remark Drop_All <-----Описание exit exit
Посмотреть детальную информацию по ACL можно с помощью комманды "show ipv4 access-lists detailed" :
0/ME5200#show ipv4 access-lists detailed Tue Jan 17 05:06:00 2023 HW resources: 0/0 ipv4 acl entries <-----Указывает на количество активных правил ACL и распределённых аппартных ресурсов. По умолчанию аппаратные ресурсы на ACL не выделены. IPv4 access-list: example <-----Название ACL Not configured on any interfaces <-----Отображает привязку ACL к конкретному интерфейсу seq-num 1 action: deny match: proto any, source 192.168.0.0/16, destination any IPv4 access-list: example_2 <-----Название ACL Not configured on any interfaces seq-num 10, Allow_10.10.10.1 <-----Описание правила action: permit match: proto any, source 10.10.10.1, destination any seq-num 100, Drop_All <-----Описание правила action: deny match: proto any, source any, destination any
Access-list можно назначить на интерфейсы устройства только в направлении ingress, пример:
interface tengigabitethernet 0/0/1 ipv4 access-group ingress example_2 ipv4 address 10.10.10.2/30 exit
Если назначить ACL на интерфейс, но не распределить аппаратные ресурсы - правила так же не будут работать, а маршрутизатор выдаст сообщение "Exceed maximum hw resources"
Для работы ACL необходимо распределить аппаратные ресурсы маршрутизатора с помощью команды "hw-module maximum ipv4 acl-entries [number]", эта команда указывает на то, сколько правил ACL может быть активно на устройстве одновременно.
Приблизительно рассчитать необходимые ресурсы можно по формуле = Количество правил в ACL * Количество интерфейсов на которые этот ACL назначен.
Для примера "hw-module maximum ipv4 acl-entries 100"
Все изменения в hw-module применяются после перезагрузки устройства. Так же в нашей базе знаний есть статья про распределение аппаратных ресурсов - Распределение аппаратных ресурсов маршрутизаторов ME
После распределения аппаратных ресурсов и перезагрузки устройства в выводе "show ipv4 access-lists detailed" отобразятся назначенные интерфейсы и занятые ресурсы:
ME5200:R5_10.0.0.1# show ipv4 access-lists detailed Tue Jan 17 07:09:32 2023 HW resources: 5/100 ipv4 acl entries <----- Активно 5 правил из 100 распределённых IPv4 access-list: example Configured on interfaces: te0/0/4 <----- ACL example назначен на интерфейс te0/0/4 и считается за одно активное правило. seq-num 1 action: deny match: proto any, source 192.168.0.0/16, destination any IPv4 access-list: example_2 Configured on interfaces: te0/0/1 <----- ACL example_2 назначен на интерфейсы te0/0/1 и te0/0/20.77 и считается за четыре активных правила. te0/0/20.77 seq-num 10, Allow_10.10.10.1 action: permit match: proto any, source 10.10.10.1, destination any seq-num 100, Drop_All action: deny match: proto any, source any, destination any