Просмотреть исходный

ACL (Access Control List) это инструмент фильтрации трафика в виде упорядоченного набор правил, который основывается на определённых критериях с целью обеспечения безопасности и управления потоками данных.
На устройствах серии LTP-N и LTX функционал ACL был переработан. Форма представления правил фильтрации была упрощена относительно предыдущих моделей LTP-X, однако их старая форма представления осталась логически прозрачной для новых устройств, что делает конфигурацию в области ACL авто-конвертируемой и упрощает перенос настроек с предыдущих моделей на LTP-N; LTX.

Функционал ACL можно разделить на 2 основных типа по уровню взаимодействия систем - L2 и L3.

Layer 2

Для фильтрации на канальном уровне предусмотрен MAC access-list. Он поддерживает следующие критерии фильтрации :

Src MAC - MAC адрес источника
Dst MAC - MAC адрес назначения
VLAN - Тэг в заголовке vlan
COS - метка CoS согласно стандарту 802.1p
Ethertype - тип сетевого протокола

Layer 3

Для фильтрации пакетов данных на сетевом уровне предусмотрен access-list IP. В него входят :

Src MAC - MAC адрес источника
Dst MAC - MAC адрес назначения
VLAN - Тэг в заголовке vlan
COS - метка CoS согласно стандарту 802.1p
Ethertype - идентификатор протокола вышестоящего уровня
Src IP - IP адрес источника
Dst IP - IP адрес назначения
DSCP - метка QoS
Precedence - приоритет в DS Field
Proto ID - идентификатор протокола транспортного уровня
Src port - порт источника, который использует протокол на транспортном уровне
Dst port - порт назначения, который использует протокол на транспортном уровне

Access-list IP является более универсальным и поддерживает широкий список правил, в который, в том числе, входят правила уровня L2.
Такая возможность предусмотрена для гибридной фильтрации трафика на обоих уровнях.

Если требуется фильтровать трафик только на канальном уровне, то рекомендуем использовать MAC access-list.

Настройка

Оба типа ACL работают по двум основным принципам: black list и white list.
В первом случае формируются правила запрета прохождения кадров на основе одного или нескольких критериев. Весь трафик, не подпадающий под логику запрещающих правил, будет пропущен.
Во втором случае формируется список разрешающих правил и трафик, не подпадающий под логику этого списка, будет отброшен.

Рассмотрим несколько примеров настройки.

Задача №1 : Запретить прохождения трафика для протоколов RPC , SSDP и mDNS.
Решение - сформировать black list на основе порта назначения протокола транспортного уровня. Правила будут выглядеть так:

    access-list ip blacklist
        deny udp any any any 135 index 1  
        deny udp any any any 1900 index 2
        deny udp any any any 5353 index 3

Затем назначим его на pon-port :

    interface pon-port 1
        access-list ip "blacklist"

Задача №2: Разрешить трафик из сетей 1.1.1.0 - 3.3.3.0 в сеть 5.0.0.0/8

Решение

Укажите шаги, которые может предпринять пользователь для решения проблемы. Например: «Принтер уровня 7 выводит красный мигающий сигнал, если закончилась бумага. Добавьте бумагу в лоток 1».

Кроме того, отдельная панель может понадобиться для выделения важных шагов.

Нумерованные списки помогают находить решение пошагово.
Скопируйте и вставьте или перетащите изображения, чтобы добавить их к этой странице.

Связанные статьи

Здесь отображаются связанные статьи с учетом выбранных меток. Щелкните, чтобы отредактировать макрос и добавить или изменить метки.

Связанный запросы