Общая информация

ACL (Access Control List или Списки доступа) — набор правил, выполняющих фильтрацию трафика по определенным критериям. В качестве критериев могут выступать определенные MAC/IP-адреса или их диапазоны, номера портов TCP/UDP, ethertype, номер VLAN, метки 802.1p/DSCP и так далее. ACL распространяются как на транзитный трафик, проходящий через OLT без обработки, так и на трафик, обрабатываемый OLT (управление, трафик попадающий под DHCP/IGMP/PPPoE snooping).

Списки доступа, настраиваемые на OLT, при их применении распространяются только на трафик, поступающий на интерфейсы (ingress).

По умолчанию списки доступа на OLT работают в режиме blacklist (разрешено всё, что не запрещено). Возможно также формирование whitelist, в этом случае после перечисления в списке доступа разрешающих правил последним правилом необходимо указать:  deny any any

Схема подключения

Для данной схемы рассмотрим ограничение на OLT входящих со стороны абонентов фреймов PPPoE (ethertype 0x8863, 0x8864), а также поступающих со стороны сети запросов DHCP (UDP-порт источника 68).

Базовая конфигурация

Минимальная базовая конфигурация для настройки данного функционала должна включать настройки параметров управления, а также настройки, необходимые для регистрации ONT.

LTP-N 
configure terminal
    management ip 10.10.0.4
    management mask 255.255.0.0
    management gateway 10.10.0.1
    management vid 100
    profile cross-connect Internet
        outer vid 999
    exit
    interface ont 1/1
        serial ELTX12345678
        service 1 profile cross-connect "Internet" dba "dba1"
    exit
    interface front-port 1
        vlan allow 100,999
    exit
commit
exit
Пояснение 
Переход в режим конфигурирования OLT
Указание адреса управления
Указание маски подсети управления
Указание шлюза по умолчанию
Указание VLAN-управления
Переход в режим конфигурирования сервисного профиля cross-connect "Internet"
Указание сервисного vlan 999
Выход из режима конфигурирования сервисного профиля cross-connect "Internet"
Переход в режим конфигурирования интерфейса ont 1/1 (pon-port 1 / ont id 1)
Указание PON serial ONT
Назначение сервисного профиля cross-connect "Internet" на ONT
Выход из режима конфигурирования интерфейса ont 1/1
Переход в режим конфигурирования uplink-интерфейса front-port 1
Указание VLAN 100 (management), 999 (Internet) в режиме tagged на uplink-интерфейсе
Выход из режима конфигурирования front-port 1
Применение конфигурации
Выход из CLI

Если приведенная конфигурация загружается на OLT из файла по протоколам FTP/TFTP/HTTP, выполнение сохранения конфигурации в энергонезависимую память произойдет автоматически.

Если конфигурация применяется путем вставки приведенных команд в CLI, необходимо дополнительно выполнить команду save.

При изменении сетевых настроек устройства убедитесь в корректности применяемой конфигурации во избежание потери удаленного доступа до устройства.

 

Настройка ACL

LTP-N 
LTP-16N# configure terminal
LTP-16N(configure)# access-list mac PPPoE_block
LTP-16N(config)(access-list-mac-PPPoE_block)# deny any any vlan any ethertype 0x8863 0xFFFF index 1
LTP-16N(config)(access-list-mac-PPPoE_block)# deny any any vlan any ethertype 0x8864 0xFFFF index 2
LTP-16N(config)(access-list-mac-PPPoE_block)# exit
LTP-16N(configure)# access-list ip DHCP_block
LTP-16N(config)(access-list-ip-DHCP_block)# deny udp any 68 any any index 1
LTP-16N(config)(access-list-ip-DHCP_block)# exit
LTP-16N(configure)# interface pon-port 1
LTP-16N(config)(if-pon-1)# access-list mac PPPoE_block
LTP-16N(config)(if-pon-1)# exit
LTP-16N(configure)# interface front-port 1
LTP-16N(config)(if-front-1)# access-list ip DHCP_block
LTP-16N(config)(if-front-1)# exit
LTP-16N(configure)# exit
LTP-16N# commit
LTP-16N# save
Пояснение 
Переход в режим конфигурирования OLT
Создание MAC ACL "PPPoE_block" и переход в режим его конфигурирования
Указание правила запрета прохождения фреймов с ethertype 0x8863
Указание правила запрета прохождения фреймов с ethertype 0x8864
Выход из режима конфигурирования MAC ACL "PPPoE_block"
Создание IP ACL "DHCP_block" и переход в режим его конфигурирования
Указание правила запрета прохождения пакетов с source UDP port 68
Выход из режима конфигурирования IP ACL "DHCP_block"
Переход в режим конфигурирования интерфейса pon-port 1
Применение к интерфейсу ACL "PPPoE_block"
Выход из режима конфигурирования интерфейса pon-port 1
Переход в режим конфигурирования интерфейса front-port 1
Применение к интерфейсу ACL "DHCP_block"
Выход из режима конфигурирования интерфейса front-port 1
Выход из режима конфигурирования OLT
Применение выполненных изменений
Сохранение выполненных изменений в энергонезависимую память
  • Нет меток