Настройка IP ACL
Описание и назначение функции
Списки контроля доступа (Access Control Lists, ACL) фильтруют сетевой трафик на основе заданных критериев. Коммутатор CIT L3200 поддерживает фильтрацию по MAC-адресам (L2), IP-адресам (L3), типам Ethernet и другим параметрам пакетов.
Основные сценарии использования:
- Ограничение доступа к сегментам сети по адресам источника и назначения
- Блокировка нежелательного трафика на основе протоколов и портов
- Классификация трафика для применения политик QoS (маркировка DSCP, CoS)
- Зеркалирование трафика на порты мониторинга
- Временная фильтрация на основе расписаний (time-based ACL)
ACL применяются на физических интерфейсах или VLAN в направлении входящего трафика. Это позволяет фильтровать пакеты до их обработки коммутатором, экономя вычислительные ресурсы.
Необходимые условия и предварительные требования
Для настройки ACL требуется:
- Доступ к привилегированному режиму (Privileged EXEC) коммутатора
- Понимание топологии сети и потоков трафика
- Версия ПО: v1.0.2 и выше (серия CIT L3200)
- Определённый план фильтрации с учётом нумерации списков:
- Диапазон 1–999: списки фильтрации L2 (MAC-адреса, EtherType)
- Диапазон 1000–32768: списки фильтрации IPv4
Примечание: Правила ACL обрабатываются последовательно сверху вниз. Первое совпадение определяет действие. Рекомендуется размещать наиболее специфичные правила в начале списка.
Назначение команд конфигурации
| Команда | Режим | Назначение |
|---|---|---|
filter-list <id> name <имя> |
Global config | Создаёт список фильтрации с идентификатором и именем |
filter <номер> src-mac <адрес> src-mask <маска> dst-mac <адрес> dst-mask <маска> |
Configure-filter-l2 | Определяет правило фильтрации по MAC-адресам источника и назначения |
filter <номер> ip <адрес/префикс> <адрес/префикс> |
Configure-filter-ipv4 | Определяет правило фильтрации по IP-адресам (источник назначение) |
filter <номер> mac <адрес> <адрес> eth-type <тип> |
Configure-filter-l2 | Фильтрует по MAC-адресам и типу Ethernet-кадра (arp, ipv4, ipv6) |
filter <номер> action <действие> |
Configure-filter | Устанавливает действие: permit, deny, dscp, redirect, mirror и др. |
filter <номер> time-range <id> |
Configure-filter | Привязывает правило к временному диапазону |
filter-list in <id> |
Interface / VLAN config | Применяет список фильтрации на интерфейс или VLAN (входящий трафик) |
time-range list <id> |
Global config | Создаёт временной диапазон для использования в ACL |
Команды конфигурируются иерархически: сначала создаётся список фильтрации, затем добавляются правила и действия, после чего список применяется на интерфейс.
Пример конфигурирования
Пошаговые инструкции
Шаг 1: Вход в режим конфигурирования
Switch>enable
Switch#configure
Переход в глобальный режим конфигурирования для создания списков фильтрации.
Шаг 2: Создание IPv4 ACL для блокировки подсети
Switch(config)#filter 1001 name IPV4_ACL_MIN
Switch(configure-filter-ipv4-1001)#filter 10 ip 192.0.2.0/24 any
Switch(configure-filter-ipv4-1001)#filter 10 action deny
Создаёт IPv4 ACL с идентификатором 1001. Правило 10 блокирует весь трафик из подсети 192.0.2.0/24 к любому назначению.
Шаг 3: Добавление разрешающего правила
Switch(configure-filter-ipv4-1001)#filter 100 ip any any
Switch(configure-filter-ipv4-1001)#filter 100 action permit
Switch(configure-filter-ipv4-1001)#exit
Правило 100 разрешает весь остальной трафик. Без этого правила весь трафик будет заблокирован из-за неявного deny all в конце списка.
Шаг 4: Применение ACL на интерфейс
Switch(config)#interface 10gigaethernet 1/0/1
Switch(config-10ge1/0/1)#filter-list in 1001
Switch(config-10ge1/0/1)#exit
Применяет ACL 1001 на входящий трафик интерфейса 10GE 1/0/1.
Шаг 5: Создание MAC ACL с фильтрацией по адресу
Switch(config)#filter-list 10 name MAC_ACL_MIN
Switch(configure-filter-l2-10)#filter 10 src-mac AA:BB:CC:DD:EE:FF src-mask FF:FF:FF:FF:FF:FF dst-mac any dst-mask any
Switch(configure-filter-l2-10)#filter 10 action deny
Switch(configure-filter-l2-10)#filter 100 mac any any
Switch(configure-filter-l2-10)#filter 100 action permit
Switch(configure-filter-l2-10)#exit
Создаёт L2 ACL с номером 10, блокирующий трафик от конкретного MAC-адреса AA:BB:CC:DD:EE:FF.
Шаг 6: Применение MAC ACL на VLAN
Switch(config)#vlan 2
Switch(vlan-2)#filter-list in 10
Switch(vlan-2)#exit
Применяет MAC ACL на VLAN 2, фильтруя трафик для всех портов в данном VLAN.
Шаг 7: Создание ACL с блокировкой EtherType
Switch(config)#filter-list 11 name ETHERTYPE_ARP_DENY
Switch(configure-filter-l2-11)#filter 10 mac any any eth-type arp
Switch(configure-filter-l2-11)#filter 10 action deny
Switch(configure-filter-l2-11)#filter 100 mac any any
Switch(configure-filter-l2-11)#filter 100 action permit
Switch(configure-filter-l2-11)#exit
Блокирует все ARP-пакеты на основе типа Ethernet-кадра 0x0806.
Шаг 8: Настройка временного диапазона
Switch(config)#time-range list 1
Switch(config-timerange1)#name WORKHOURS
Switch(config-timerange1)#time-range 1 everyday 09:00:00 to 18:00:00
Switch(config-timerange1)#exit
Создаёт временной диапазон "рабочие часы" для применения в ACL с временной фильтрацией.
Шаг 9: Создание QoS ACL с маркировкой DSCP
Switch(config)#filter 1002 name QOS_ACL_DSCP_MIN
Switch(configure-filter-ipv4-1002)#filter 10 ip any any
Switch(configure-filter-ipv4-1002)#filter 10 action dscp ef
Switch(configure-filter-ipv4-1002)#filter 100 ip any any
Switch(configure-filter-ipv4-1002)#filter 100 action permit
Switch(configure-filter-ipv4-1002)#exit
Маркирует весь IP-трафик значением DSCP EF (Expedited Forwarding) для приоритетной обработки.
Шаг 10: Сохранение конфигурации
Switch(config)#end
Switch#write
Выход из режима конфигурирования и сохранение изменений в энергонезависимую память.
Полный вывод выполненных конфигураций
Команды для copy-paste в режиме privileged EXEC:
configure
filter 1001 name IPV4_ACL_MIN
filter 10 ip 192.0.2.0/24 any
filter 10 action deny
filter 100 ip any any
filter 100 action permit
exit
filter-list 10 name MAC_ACL_MIN
filter 10 src-mac AA:BB:CC:DD:EE:FF src-mask FF:FF:FF:FF:FF:FF dst-mac any dst-mask any
filter 10 action deny
filter 100 mac any any
filter 100 action permit
exit
filter-list 11 name ETHERTYPE_ARP_DENY
filter 10 mac any any eth-type arp
filter 10 action deny
filter 100 mac any any
filter 100 action permit
exit
filter 1002 name QOS_ACL_DSCP_MIN
filter 10 ip any any
filter 10 action dscp ef
filter 100 ip any any
filter 100 action permit
exit
time-range list 1
name WORKHOURS
time-range 1 everyday 09:00:00 to 18:00:00
exit
interface 10gigaethernet 1/0/1
filter-list in 1001
exit
vlan 2
filter-list in 10
exit
end
Вывод show running-config:
!
time-range list 1
name WORKHOURS
time-range 1 everyday 09:00:00 to 18:00:00
!
filter-list 10 name MAC_ACL_MIN
filter 10 src-mac aa:bb:cc:dd:ee:ff src-mask ff:ff:ff:ff:ff:ff dst-mac any dst-mask any
filter 10 action deny
filter 100 mac any any
filter 100 action permit
filter-list 11 name ETHERTYPE_ARP_DENY
filter 10 mac any any eth-type arp
filter 10 action deny
filter 100 mac any any
filter 100 action permit
filter-list 1001 name IPV4_ACL_MIN
filter 10 ip 192.0.2.0/24 any
filter 10 action deny
filter 100 ip any any
filter 100 action permit
filter-list 1002 name QOS_ACL_DSCP_MIN
filter 10 ip any any
filter 10 action dscp ef
filter 100 ip any any
filter 100 action permit
!
vlan 2
filter-list in name MAC_ACL_MIN
!
interface 10gigaethernet 1/0/1
filter-list in 1001
!
Изучение состояния устройства
Просмотр конфигурации
Проверка активной конфигурации:
Switch#show running-config
Обратите внимание на строки:
- Секция
filter-list <id> name <имя>— проверьте наличие созданных ACL - Строка
filter-list in <id>в конфигурации интерфейсов — убедитесь, что ACL применены корректно - Секция
time-range list <id>— проверьте временные диапазоны
Просмотр списков фильтрации
Проверка содержимого конкретного ACL:
Switch#show filter-list 1001
filter-list 1001 name IPV4_ACL_MIN filter 2 <---- количество правил
filter-list 1001 name IPV4_ACL_MIN
filter 10 ip 192.0.2.0/24 any
filter 10 action deny
filter 100 ip any any
filter 100 action permit
Просмотр привязки ACL к интерфейсам:
Switch#show filter-list interface
Filter-list Interface Dir Name
10 10ge1/0/1 In MAC_ACL_MIN
10 10ge1/0/2 In MAC_ACL_MIN
10 vlan-2 In MAC_ACL_MIN
1001 10ge1/0/1 In IPV4_ACL_MIN <---- применён на интерфейсе
Обратите внимание на колонку Dir (Direction) — все ACL применяются только во входящем направлении (In).
Просмотр статистики
Проверка счётчиков ACL:
Switch#show filter-list statistic
Команда отображает статистику срабатываний правил, если настроены счётчики через action counter <id>.
Рекомендации выполнения команд и настроек
- Планирование нумерации списков
- Используйте диапазон 1–999 для MAC/L2 ACL, 1000+ для IPv4 ACL
- Резервируйте блоки номеров для различных функций (безопасность, QoS, мониторинг)
- Присваивайте осмысленные имена спискам через параметр
name
- Порядок правил в списке
- Размещайте наиболее специфичные правила с меньшими номерами (filter 10, 20, 30...)
- Добавляйте разрешающее правило
filter 100 action permitв конце для явного контроля - Нумеруйте правила с шагом 10 для возможности вставки новых правил между существующими
- Применение на интерфейсах
- Применяйте ACL максимально близко к источнику трафика для экономии ресурсов коммутатора
- Один интерфейс может иметь несколько ACL (L2 и L3 одновременно)
- Проверяйте привязку командой
show filter-list interfaceпосле применения
- Тестирование изменений
- Тестируйте новые ACL на неактивных интерфейсах перед применением в production
- Используйте команду
show filter-list <id>для проверки правил до применения - Подготовьте план отката (команды
no filter-list in <id>)
- Действия и модификаторы
- Действие
denyблокирует пакеты без дополнительных уведомлений - Для QoS используйте действия
dscp,cos,precedenceдля маркировки трафика - Действие
redirectперенаправляет пакеты на конкретный порт вместо обычной коммутации
- Действие
- Временная фильтрация
- Создавайте временные диапазоны через
time-range listперед использованием в ACL - Синхронизируйте системное время коммутатора через NTP для корректной работы time-based ACL
- Привязка time-range к правилу возможна только после создания самого правила
- Создавайте временные диапазоны через
История возникновения команды
Команды в данной главе применимы для:
- Аппаратных платформ CIT серии L3200 с установленной версией ПО v1.0.2 и выше
- Являются актуальными с версии ПО v1.0.2
Функциональность списков контроля доступа реализована с момента выпуска первой версии программного обеспечения для платформы CIT L3200.
Ссылка на внешнюю документацию
Концепция списков контроля доступа базируется на стандартных механизмах фильтрации пакетов. При возникновении вопросов обратитесь к технической поддержке.