В данной статье мы разберём принципы настройки ACL на маршрутизаторах МЕ.
Создать ACL можно командой: "ipv4 access-list [Name]" - В качестве названия ACL можно использовать до 63 символов.
ipv4 access-list example <-----Название ACL
seq-num 1
action deny
source 192.168.0.0/16
exit
exit
По умолчанию ACL пропускает весь трафик.
На маршрутизаторах ME отсутствует возможность сконфигурировать description для всего ACL, но вы можете задать описание для каждого правила используя "remark".
ipv4 access-list example_2
seq-num 10
remark Allow_10.10.10.1 <-----Описание
source 10.10.10.1
exit
seq-num 100
action deny
remark Drop_All <-----Описание
exit
exit
Посмотреть детальную информацию по ACL можно с помощью комманды "show ipv4 access-lists detailed" :
0/ME5200#show ipv4 access-lists detailed
Tue Jan 17 05:06:00 2023
HW resources: 0/0 ipv4 acl entries <-----Указывает на количество активных правил ACL и распределённых аппартных ресурсов. По умолчанию аппаратные ресурсы на ACL не выделены.
IPv4 access-list: example <-----Название ACL
Not configured on any interfaces <-----Отображает привязку ACL к конкретному интерфейсу
seq-num 1
action: deny
match: proto any, source 192.168.0.0/16, destination any
IPv4 access-list: example_2 <-----Название ACL
Not configured on any interfaces
seq-num 10, Allow_10.10.10.1 <-----Описание правила
action: permit
match: proto any, source 10.10.10.1, destination any
seq-num 100, Drop_All <-----Описание правила
action: deny
match: proto any, source any, destination any
Access-list можно назначить на интерфейсы устройства только в направлении ingress, пример:
interface tengigabitethernet 0/0/1 ipv4 access-group ingress example_2 ipv4 address 10.10.10.2/30 exit
Если назначить ACL на интерфейс, но не распределить аппаратные ресурсы - правила так же не будут работать, а маршрутизатор выдаст сообщение "Exceed maximum hw resources"
Для работы ACL необходимо распределить аппаратные ресурсы маршрутизатора с помощью команды "hw-module maximum ipv4 acl-entries [number]", эта команда указывает на то, сколько правил ACL может быть активно на устройстве одновременно.
Приблизительно рассчитать необходимые ресурсы можно по формуле = Количество правил в ACL * Количество интерфейсов на которые этот ACL назначен.
Для примера "hw-module maximum ipv4 acl-entries 100"
Все изменения в hw-module применяются после перезагрузки устройства. Так же в нашей базе знаний есть статья про распределение аппаратных ресурсов - Распределение аппаратных ресурсов маршрутизаторов ME
После распределения аппаратных ресурсов и перезагрузки устройства в выводе "show ipv4 access-lists detailed" отобразятся назначенные интерфейсы и занятые ресурсы:
ME5200:R5_10.0.0.1# show ipv4 access-lists detailed
Tue Jan 17 07:09:32 2023
HW resources: 5/100 ipv4 acl entries <----- Активно 5 правил из 100 распределённых
IPv4 access-list: example
Configured on interfaces:
te0/0/4 <----- ACL example назначен на интерфейс te0/0/4 и считается за одно активное правило.
seq-num 1
action: deny
match: proto any, source 192.168.0.0/16, destination any
IPv4 access-list: example_2
Configured on interfaces:
te0/0/1 <----- ACL example_2 назначен на интерфейсы te0/0/1 и te0/0/20.77 и считается за четыре активных правила.
te0/0/20.77
seq-num 10, Allow_10.10.10.1
action: permit
match: proto any, source 10.10.10.1, destination any
seq-num 100, Drop_All
action: deny
match: proto any, source any, destination any