Общая информация

ACL (Access Control List или Списки доступа) — набор правил, выполняющих фильтрацию трафика по определенным критериям. В качестве критериев могут выступать определенные MAC/IP-адреса или их диапазоны, номера портов TCP/UDP, ethertype, номер VLAN, метки 802.1p/DSCP и так далее. ACL распространяются как на транзитный трафик, проходящий через OLT без обработки, так и на трафик, обрабатываемый OLT (управление, трафик попадающий под DHCP/IGMP/PPPoE snooping).

Относительно OLT предыдущего поколения LTP-X, на OLT нового поколения функционал ACL переработан. Форма представления правил фильтрации упрощена, однако прежнее представление осталась логически прозрачным для новых устройств, что делает конфигурацию в области ACL конвертируемой между разными поколениями OLT и упрощает перенос данного блока конфигурации с OLT предыдущего поколения на новые.

На OLT предусмотрено 2 типа списков доступа: L2 ACL (MAC access-list) и L3 ACL (IP access-list).

L2 списки доступа MAC ACL содержат следующие критерии фильтрации:

Src MAC - MAC адрес источника;
Dst MAC - MAC адрес назначения;
VLAN - идентификатор VLAN;
COS - метка 802.1p CoS;
Ethertype - поле ethertype фрейма ethernet.

В свою очередь, L3 списки доступа IP ACL содержат все те же критерии, что и MAC ACL, а так же:

Src IP - IP адрес источника;
Dst IP - IP адрес назначения;
DSCP - метка DSCP QoS;
Precedence - приоритет в DS Field;
Proto ID - идентификатор протокола транспортного уровня (TCP/UDP);
Src port - порт источника, который использует протокол на транспортном уровне;
Dst port - порт назначения, который использует протокол на транспортном уровне;

IP ACL является более универсальным и поддерживает широкий список критерий фильтрации трафик, включая все доступные критерии MAC ACL. Это позволяет обеспечить гибридную фильтрацию трафика на обоих уровнях L2 и L3 в рамках одного списка доступа. Если требуется фильтровать трафик только по L2 критериям, рекомендуем использовать MAC ACL.

По умолчанию списки доступа на OLT работают в режиме blacklist (разрешено всё, что не запрещено). Возможно также формирование whitelist, в этом случае после перечисления в списке доступа разрешающих правил, последним правилом необходимо указать правило, которое будет запрещать всё остальное – deny any any.

Списки доступа, настраиваемые на OLT, при их применении распространяются только на трафик, поступающий на интерфейсы (ingress). На один интерфейс можно назначить по одному ACL каждого типа (один MAC ACL + 1 IP ACL).

ACL могут быть применены только на uplink интерфейсы front-port, port-channel и downlink интерфейсы pon-port. Применение ACL по отдельно взятым ONT не поддержано.

Настройка функционала

В качестве примера рассмотрим комплексную настройку нескольких правил фильтрации трафика для интерфейсов pon-port и front-port. Схема фильтрации продемонстрирована на диаграмме:

В соответствии с данной схемой необходимо:

Ограничить поступление входящих со стороны сети оператора пакетов UDP с src port = 68 (пакеты DHCP Discover, DHCP Request);
Ограничить поступление входящих со стороны абонентов, подключенных к интерфейсу pon-port 1, фреймов PPPoE (ethertype 0x8863, 0x8864);
Ограничить поступление входящих со стороны абонентов, подключенных к интерфейсу pon-port 1, пакетов UDP с dst port = 1900, 5353 (протоколы SSDP, mDNS);
Весь остальной трафик пропускать без ограничений.

Для реализации данной задачи можно сформировать два списка доступа IP ACL, каждый из которых будет предназначаться для своего интерфейса. В IP ACL, предназначенном для интерфейса pon-port можно объединить L2 и L3 правила.

Порядок настройки. Подход к формированию ACL (пункты 1, 2) идентичен для OLT всех типов – LTP-N, LTX, MA5160. Порядок назначения ACL на интерфейсы несколько отличается для LTP-N, LTX и MA5160 по причине архитектурных отличий. На MA5160 ACL работают по каждому слоту отдельно. Интерфейсы, на которые будут применяться списки доступа на MA5160:

uplink в строну управляющих плат FC (lc-slot-channel);
downlink в сторону ONT (pon-port) – отличий относительно LTP-N, LTX здесь нет.

Формирование списка доступа для uplink.

LTP-16N# configure terminal
LTP-16N(configure)# access-list ip uplink_block
LTP-16N(config)(access-list-ip-uplink_block)# deny udp any 68 any any index 1
LTP-16N(config)(access-list-ip-uplink_block)# exit

Формирование списка доступа для pon-port

LTP-16N(configure)# access-list ip pon_block
LTP-16N(config)(access-list-ip-pon_block)# deny any any any ethertype 0x8863 0xFFFF 
LTP-16N(config)(access-list-ip-pon_block)# deny any any any ethertype 0x8864 0xFFFF
LTP-16N(config)(access-list-ip-pon_block)# deny udp any any any 1900
LTP-16N(config)(access-list-ip-pon_block)# deny udp any any any 1900
LTP-16N(config)(access-list-ip-pon_block)# exit

Применение списков доступа на интерфейсы. Применение и сохранение настроек в энергонезависимую память.
Для LTP-N, LTX данная часть конфигурации будет выглядеть следующим образом:

LTP-16N(configure)# interface front-port 1
LTP-16N(config)(if-front-1)# access-list ip uplink_block
LTP-16N(config)(if-front-1)# exit
LTP-16N(configure)# interface pon-port 1
LTP-16N(config)(if-pon-1)# access-list ip pon_block 
LTP-16N(config)(if-pon-1)# exit
LTP-16N(configure)# exit
LTP-16N# commit
LTP-16N# save

Для MA5160 (предположим что правила настраиваются для слота 1):

MA5160# configure terminal
MA5160(configure)# interface lc-slot-channel 1
MA5160(config)(if-lc-slot-channel-1)# access-list ip uplink_block
MA5160(config)(if-lc-slot-channel-1)# exit
MA5160(configure)# interface pon-port 1/1
MA5160(config)(if-pon-1/1)# access-list ip pon_block 
MA5160(config)(if-pon-1/1)# exit
MA5160(configure)# exit
MA5160# commit confirm