ACL (Access Control List) это инструмент фильтрации трафика в виде упорядоченного набор правил, который основывается на определённых критериях с целью обеспечения безопасности и управления потоками данных.
На устройствах серии LTP-N и LTX функционал ACL был переработан. Форма представления правил фильтрации была упрощена относительно предыдущих моделей LTP-X, однако их старая форма представления осталась логически прозрачной для новых устройств, что делает конфигурацию в области ACL авто-конвертируемой и упрощает перенос настроек с предыдущих моделей на LTP-N; LTX.


Функционал ACL можно разделить на 2 основных типа по уровню взаимодействия систем - L2 и L3.

 Layer 2

Для фильтрации на канальном уровне предусмотрен MAC access-list. Он поддерживает следующие критерии фильтрации :

 Layer 3

Для фильтрации пакетов данных на сетевом уровне предусмотрен access-list IP. В него входят :


Access-list IP является более универсальным и поддерживает широкий список правил, в который, в том числе, входят правила уровня L2.
Такая возможность предусмотрена для гибридной фильтрации трафика на обоих уровнях. 

Если требуется фильтровать трафик только на канальном уровне, то рекомендуем использовать MAC access-list.


Настройка

Оба типа ACL работают по двум основным принципам: black list и white list.
В первом случае формируются правила запрета прохождения кадров на основе одного или нескольких критериев. Весь трафик, не подпадающий под логику запрещающих правил, будет пропущен.
Во втором случае формируется список разрешающих правил и трафик, не подпадающий под логику этого списка, будет отброшен.  


Рассмотрим несколько примеров настройки. 

Задача №1 :  Запретить прохождения трафика для протоколов RPC , SSDP и mDNS. 
Решение - сформировать black list на основе порта назначения протокола транспортного уровня. Правила будут выглядеть так: 

    access-list ip blacklist
        deny udp any any any 135 index 1  
        deny udp any any any 1900 index 2
        deny udp any any any 5353 index 3

Затем назначим его на pon-port :

    interface pon-port 1
        access-list ip "blacklist"

Задача №2: Разрешить трафик из сетей 1.1.1.0 - 3.3.3.0 в сеть 5.0.0.0/8


Решение

Укажите шаги, которые может предпринять пользователь для решения проблемы. Например: «Принтер уровня 7 выводит красный мигающий сигнал, если закончилась бумага. Добавьте бумагу в лоток 1».

Кроме того, отдельная панель может понадобиться для выделения важных шагов.
  1. Нумерованные списки помогают находить решение пошагово.
  2. Скопируйте и вставьте или перетащите изображения, чтобы добавить их к этой странице.

Связанные статьи

Здесь отображаются связанные статьи с учетом выбранных меток. Щелкните, чтобы отредактировать макрос и добавить или изменить метки.


Связанный запросы