Настройка VLAN based ACL
Описание и назначение функции
Списки фильтрации на основе VLAN применяют правила контроля доступа ко всему трафику, проходящему через указанную виртуальную локальную сеть. Коммутатор CIT L3200 поддерживает применение фильтров как на физических интерфейсах, так и непосредственно на VLAN, что позволяет контролировать трафик на уровне канала (L2) и сетевого уровня (L3) одновременно.
Основные сценарии использования:
- Блокировка трафика от конкретных MAC-адресов внутри VLAN
- Ограничение доступа к определённым IP-подсетям для всех участников VLAN
- Маркировка трафика значениями DSCP для приоритизации QoS
- Фильтрация протоколов по типу EtherType (ARP, IPv4, IPv6)
- Применение временных ограничений доступа с использованием расписаний
Функция эффективна при необходимости централизованного управления политиками безопасности для группы портов, объединённых в один широковещательный домен.
Необходимые условия и предварительные требования
Для настройки списков фильтрации на основе VLAN требуется:
- Административный доступ к коммутатору с правами привилегированного режима (Privileged EXEC)
- Предварительно созданные и активные VLAN, к которым будут применяться фильтры
- Версия ПО: v1.0.2 и выше (серия CIT L3200)
- Понимание структуры сети и требований к политикам безопасности
- Настроенные интерфейсы в составе целевых VLAN
Примечание: Списки фильтрации применяются только во входящем направлении (in). Один интерфейс или VLAN может иметь несколько активных списков фильтрации одновременно.
Назначение команд конфигурации
| Команда | Режим | Назначение |
|---|---|---|
filter-list <id> name <NAME> |
Global config | Создаёт список фильтрации с указанным идентификатором и именем (10-99 для L2, 1000-1999 для IPv4) |
filter <rule-id> src-mac <MAC> src-mask <MASK> dst-mac <MAC> dst-mask <MASK> |
Configure-filter-l2 | Задаёт правило фильтрации на основе исходного и целевого MAC-адреса |
filter <rule-id> ip <IP/PREFIX> any |
Configure-filter-ipv4 | Задаёт правило фильтрации на основе IP-адреса источника |
filter <rule-id> mac any any eth-type <TYPE> |
Configure-filter-l2 | Задаёт правило фильтрации на основе типа протокола Ethernet |
filter <rule-id> action <ACTION> |
Configure-filter | Определяет действие для правила: permit (разрешить), deny (запретить), dscp (маркировать DSCP) |
filter <rule-id> time-range <id> |
Configure-filter | Привязывает правило фильтрации к временному диапазону |
filter-list in <id> |
Interface/VLAN config | Применяет список фильтрации на интерфейсе или VLAN во входящем направлении |
time-range list <id> |
Global config | Создаёт временной диапазон для привязки к правилам фильтрации |
time-range <id> everyday <START> to <END> |
Config-timerange | Задаёт временной интервал действия правила |
Команды позволяют создать многоуровневую систему фильтрации с гибким управлением трафиком на канальном и сетевом уровнях.
Пример конфигурирования
Пошаговые инструкции
Шаг 1: Вход в режим конфигурирования
Switch>enable
Switch#configure
Команда переводит коммутатор в режим глобальной конфигурации.
Шаг 2: Создание L2 фильтра для блокировки MAC-адреса
Switch(config)#filter-list 10 name MAC_ACL_MIN
Switch(configure-filter-l2-10)#filter 10 src-mac AA:BB:CC:DD:EE:FF src-mask FF:FF:FF:FF:FF:FF dst-mac any dst-mask any
Switch(configure-filter-l2-10)#filter 10 action deny
Switch(configure-filter-l2-10)#filter 100 mac any any
Switch(configure-filter-l2-10)#filter 100 action permit
Switch(configure-filter-l2-10)#exit
Создаём список фильтрации канального уровня с идентификатором 10. Правило 10 запрещает весь трафик от MAC-адреса AA:BB:CC:DD:EE:FF, правило 100 разрешает остальной трафик.
Шаг 3: Создание IPv4 фильтра для блокировки подсети
Switch(config)#filter-list 1001 name IPV4_ACL_MIN
Switch(configure-filter-ipv4-1001)#filter 10 ip 192.0.2.0/24 any
Switch(configure-filter-ipv4-1001)#filter 10 action deny
Switch(configure-filter-ipv4-1001)#filter 100 ip any any
Switch(configure-filter-ipv4-1001)#filter 100 action permit
Switch(configure-filter-ipv4-1001)#exit
Создаём список фильтрации сетевого уровня. Запрещаем трафик от подсети 192.0.2.0/24 и разрешаем остальной.
Шаг 4: Создание фильтра для блокировки ARP
Switch(config)#filter-list 11 name ETHERTYPE_ARP_DENY
Switch(configure-filter-l2-11)#filter 10 mac any any eth-type arp
Switch(configure-filter-l2-11)#filter 10 action deny
Switch(configure-filter-l2-11)#filter 100 mac any any
Switch(configure-filter-l2-11)#filter 100 action permit
Switch(configure-filter-l2-11)#exit
Блокируем весь ARP-трафик, разрешая остальные типы Ethernet-кадров.
Шаг 5: Создание QoS-фильтра с маркировкой DSCP
Switch(config)#filter-list 1002 name QOS_ACL_DSCP_MIN
Switch(configure-filter-ipv4-1002)#filter 10 ip any any
Switch(configure-filter-ipv4-1002)#filter 10 action dscp ef
Switch(configure-filter-ipv4-1002)#filter 100 ip any any
Switch(configure-filter-ipv4-1002)#filter 100 action permit
Switch(configure-filter-ipv4-1002)#exit
Маркируем весь IP-трафик значением DSCP EF (Expedited Forwarding) для приоритизации.
Шаг 6: Создание временного диапазона
Switch(config)#time-range list 1
Switch(config-timerange1)#name WORKHOURS
Switch(config-timerange1)#time-range 1 everyday 09:00:00 to 18:00:00
Switch(config-timerange1)#exit
Создаём временной интервал для применения правил только в рабочее время (09:00-18:00 ежедневно).
Шаг 7: Применение фильтров на физическом интерфейсе
Switch(config)#interface 10gigaethernet 1/0/1
Switch(config-10ge1/0/1)#filter-list in 10
Switch(config-10ge1/0/1)#filter-list in 1001
Switch(config-10ge1/0/1)#filter-list in 11
Switch(config-10ge1/0/1)#filter-list in 1002
Switch(config-10ge1/0/1)#exit
Применяем несколько списков фильтрации на интерфейс 10GE 1/0/1. Все фильтры действуют одновременно.
Шаг 8: Применение фильтра на VLAN
Switch(config)#vlan 2
Switch(vlan-2)#filter-list in 10
Switch(vlan-2)#exit
Применяем список фильтрации 10 ко всему трафику VLAN 2. Фильтр действует на всех портах, входящих в VLAN 2.
Полный вывод выполненных конфигураций
Команды для copy-paste в режиме privileged EXEC:
configure
filter-list 10 name MAC_ACL_MIN
filter 10 src-mac AA:BB:CC:DD:EE:FF src-mask FF:FF:FF:FF:FF:FF dst-mac any dst-mask any
filter 10 action deny
filter 100 mac any any
filter 100 action permit
exit
filter-list 11 name ETHERTYPE_ARP_DENY
filter 10 mac any any eth-type arp
filter 10 action deny
filter 100 mac any any
filter 100 action permit
exit
filter-list 1001 name IPV4_ACL_MIN
filter 10 ip 192.0.2.0/24 any
filter 10 action deny
filter 100 ip any any
filter 100 action permit
exit
filter-list 1002 name QOS_ACL_DSCP_MIN
filter 10 ip any any
filter 10 action dscp ef
filter 100 ip any any
filter 100 action permit
exit
time-range list 1
name WORKHOURS
time-range 1 everyday 09:00:00 to 18:00:00
exit
interface 10gigaethernet 1/0/1
filter-list in 10
filter-list in 1001
filter-list in 11
filter-list in 1002
exit
vlan 2
filter-list in 10
end
Вывод show running-config:
!
filter-list 10 name MAC_ACL_MIN
filter 10 src-mac aa:bb:cc:dd:ee:ff src-mask ff:ff:ff:ff:ff:ff dst-mac any dst-mask any
filter 10 action deny
filter 100 mac any any
filter 100 action permit
filter-list 11 name ETHERTYPE_ARP_DENY
filter 10 mac any any eth-type arp
filter 10 action deny
filter 100 mac any any
filter 100 action permit
filter-list 1001 name IPV4_ACL_MIN
filter 10 ip 192.0.2.0/24 any
filter 10 action deny
filter 100 ip any any
filter 100 action permit
filter-list 1002 name QOS_ACL_DSCP_MIN
filter 10 ip any any
filter 10 action dscp ef
filter 100 ip any any
filter 100 action permit
!
time-range list 1
name WORKHOURS
time-range 1 everyday 09:00:00 to 18:00:00
!
vlan 2
filter-list in name MAC_ACL_MIN
!
Изучение состояния устройства
Просмотр конфигурации
Проверка активной конфигурации списка фильтрации:
Switch#show filter-list 10
filter-list 10 name MAC_ACL_MIN filter 2
filter-list 10 name MAC_ACL_MIN
filter 10 src-mac aa:bb:cc:dd:ee:ff src-mask ff:ff:ff:ff:ff:ff dst-mac any dst-mask any
filter 10 action deny
filter 100 mac any any
filter 100 action permit
Обратите внимание на строки:
filter 2— количество правил в списке фильтрацииfilter 10 action deny— первое правило блокирует указанный MAC-адресfilter 100 action permit— последнее правило разрешает весь остальной трафик
Просмотр параметров работы
Проверка применения фильтров на интерфейсах:
Switch#show filter-list interface
Filter-list Interface Dir Name
10 10ge1/0/1 In MAC_ACL_MIN
10 10ge1/0/2 In MAC_ACL_MIN
10 vlan-2 In MAC_ACL_MIN <---- применён на VLAN
11 10ge1/0/1 In ETHERTYPE_ARP_DENY
1001 10ge1/0/1 In IPV4_ACL_MIN <---- несколько фильтров на одном интерфейсе
1002 10ge1/0/1 In QOS_ACL_DSCP_MIN
Проверка глобальных фильтров:
Switch#show filter-list global
Команда отображает списки фильтрации, применённые глобально (на данный момент пустой вывод).
Просмотр статистики применения фильтров:
Switch#show filter-list statistic
Команда отображает счётчики пакетов, обработанных правилами фильтрации (требуется настройка счётчиков через action counter).
Рекомендации выполнения команд и настроек
- Нумерация правил и списков
- Используйте диапазон 10-99 для списков фильтрации канального уровня (L2)
- Используйте диапазон 1000-1999 для списков IPv4-фильтрации
- Нумеруйте правила внутри списка с шагом 10 (10, 20, 30...) для возможности вставки дополнительных правил
- Порядок обработки правил
- Правила обрабатываются последовательно, сверху вниз
- Обязательно добавляйте завершающее правило
permit any anyво избежание неявной блокировки трафика - Размещайте наиболее специфичные правила в начале списка
- Применение на VLAN и интерфейсах
- Фильтры на VLAN действуют для всех портов, входящих в данный VLAN
- Фильтры на интерфейсе имеют приоритет над фильтрами VLAN
- Один интерфейс может иметь несколько активных фильтров одновременно
- Временные диапазоны
- Создавайте временные диапазоны до привязки их к правилам фильтрации
- При выходе за пределы временного диапазона правило автоматически деактивируется
- Тестирование конфигурации
- Проверяйте применение фильтров командой
show filter-list interfaceперед активацией в продуктивной среде - Используйте команду
show filter-list <id>для проверки синтаксиса правил - Сохраняйте конфигурацию командой
write memoryтолько после проверки работоспособности
- Проверяйте применение фильтров командой
- Отладка и устранение неполадок
- Добавляйте действие
counterк критичным правилам для отслеживания статистики срабатываний - При настройке счётчика убедитесь, что идентификатор счётчика уникален и не конфликтует с другими правилами
- Проверяйте маски MAC-адресов — маска
FF:FF:FF:FF:FF:FFозначает точное совпадение
- Добавляйте действие
История возникновения команды
Команды в данной главе применимы для:
- Аппаратных платформ CIT серии L3200 с установленной версией ПО v1.0.2 и выше
- Являются актуальными с версии ПО v1.0.2
Функциональность VLAN-based ACL введена для упрощения централизованного управления политиками безопасности на уровне виртуальных сетей без необходимости дублирования конфигурации на каждом физическом интерфейсе.
Ссылка на внешнюю документацию
При возникновении вопросов обратитесь к технической поддержке. Для дополнительной информации о стандартах фильтрации трафика см. RFC 2827 (Network Ingress Filtering) и IEEE 802.1Q (VLAN Tagging).