Библиотека@XybiX.org

Познавательный раздел нашего сайта
Данный материал взят с сайта: XybiX.org, http://xybix.org. This material is taken from the site: XybiX.org, http://xybix.org

Создание access-list на маршрутизаторах Extreme Summit (XOS)

В этой статье опишу процедуру создания акцесс листа(ов) для маршрутизаторов Extreme Summit 450 или подобных на оси XOS (ExtremeOS).
 
Для начала нужно создать файл будущей политики на флешке девайса. Для этого командуем edit policy [name] где нейм собственно имя будущего файла, после чего откроется окно редактора. Для нашего примера edit policy port445
 
Сразу опишу команды управления редактором:
 
Вход в режим ввода команд - Esc
Начать редактировать - i
Вставить строку - yy
Удалить строку - dd
Вставить - p
Сохранить файл - :w
Выйти из режима редактирования без сохранения - :q!
Выйти из режима радактирования с сохранением - :wq

 
После того как открылось окно редактора пишем правила в синтаксисе, чем-то похожем на си.
 
Для примера забаним 445 порт tcp:
 
entry 445 {
if {
protocol tcp;
Destination-port 445;
} then {
deny;
}
}

 
или забаним по маку врага
 

entry dacl14 {
   if match all {
   ethernet-source-address 00:01:05:00:00:00;
   } then {
   deny;
   }
}

 

 
то есть указываем имя записи (445) потом пишем условия и действие.
 
Условие Описание применяется к протоколам / направлениям
ethernet-type  Тип ethernet. В качестве значения можно задать и текстовые значения: ETHER-P-IP (0x0800), ETHER-P-8021Q (0x8100), ETHER-P-IPV6 (0x86DD) ethernet / ingress
ethernet-source-address  МАС-адрес источника ethernet / ingress
ethernet-source-address  mask
или
ethernet-source-address
Например
ethernet-source-address 00:01:02:03:01:01 mask ff:ff:ff:ff:00:00
ethernet-source-address 00:01:02:03:01:01 / ff:ff:ff:ff:00:00
Проверяются только те значения битов, которые в маске соответствуют 1. В приведённом примере все маки 00:01:02:03:xx:xx удовлетворят условию.
ethernet / ingress
ethernet-destination-address
ethernet-destination-address  mask
ethernet-destination-address  /  
МАС-адрес назначения. Маски задаются и обрабатываются так же как в случае ethernet-source-address. ethernet / ingress
source-address  IP-префикс (адрес и маска) источника. Маска не обязательно должна задавать IP-подсеть. все IP / ingress и egress
destination-address  IP-префикс (адрес и маска) назначения. Маска не обязательно должна задавать IP-подсеть. все IP / ingress и egress
Source-port ,  Номер порта источника TCP или UDP. Для использования необходимо определить и протокол (TCP/UDP). TCP, UDP / ingress и egress
Destination-port ,  Номер порта назначения TCP или UDP. Для использования необходимо определить и протокол (TCP/UDP). TCP, UDP / ingress и egress
TCP-flags  Флаги TCP. Используется в дополнение к критерию protocol. В качестве значения кроме цифр можно задавать следующие текстовые синонимы: ACK(0x10), FIN(0x01), PUSH(0x08), RST(0x04), SYN(0x02), URG(0x20), SYN_ACK(0x12). TCP / ingress и egress
IGMP-msg-type  Тип сообщения IGMP. Возможны следующие значения (текстовые синонимы): v1-report(0x12), v2-report(0x16), v3-report(0x22), V2-leave(0x17), query(0x11). IGMP / ingress и egress
ICMP-type  Поле типа ICMP. Используется в дополнение к критерию protocol. Вместо  можно использовать следующие текстовые псевдонимы: echo-reply(0), echo-request(8), info-reply(16), info-request(15), mask-request(17), mask-reply(18), parameter-problem(12), redirect(5), router-advertisement(9), router-solicit(10), source-quench(4), time-exceeded(11), timestamp(13), timestamp-reply(14), unreachable(3). ICMP / ingress и egress
ICMP-code  Поле кода ICMP. Точнее определяет смысл типа ICMP. Используется в дополнение к критерию ICMP-type. Описание значений см. в Concepts Guide. ICMP / ingress и egress
source-sap SSAP - поле длиной 1 байт, диапазон значений 0-255. Может определяться в десятичном или 16-ричном виде. Значение поля SSAP в пакете формата 802.3 SNAP или LLC находится в байте со смещением 15. ethernet / ingress
destination-sap DSAP - поле длиной 1 байт, диапазон значений 0-255. Может определяться в десятичном или 16-ричном виде. Значение поля DSAP в пакете формата 802.3 SNAP или LLC находится в байте со смещением 14. ethernet / ingress
snap-type Тип SNAP - поле длиной 2 байта, диапазон значений 0-65535. Может определяться в десятичном или 16-ричном виде. Значение поля DSAP в пакете формата 802.3 SNAP находится в байтах со смещением 20 и 21. ethernet / ingress
IP-ToS Поле IP-ToS. Вместо числового значения можно указывать текстовые синонимы: minimize-delay 16(0x10), maximize-reliability 4(0x04), minimize-cost 2(0x02), normal-service 0(0x00). все IP / ingress и egress
dscp Биты dscp в поле IP-ToS. Указывается десятичное значение. все IP / ingress и egress
fragments Фрагментированные IP-пакеты. FO > 0 (FO = Fragment Offset в заголовке IP). все IP, без правил L4 / ingress
first-fragment Фрагментированный НЕ-IP пакет, либо первый фрагмент IP-пакета. FO = 0. все IP / ingress
protocol  Поле IP-протокола. Можно использовать следующие текстовые синонимы: egp(8), gre(47), icmp(1), igmp(2), ipip(4), ipv6 over ipv4(41), ospf(89), pim(103), rsvp(46), st(5), tcp(6), udp(17). все IP / ingress и egress
vlan-id  Значение VLAN-ID. Правило ACL может быть применено только к портам (не к вланам). На Summit это значение соответствует внешнему тэгу (QinQ,VMAN). все IP / ingress (и egress только на Summit)
dot1p  Проверяет поле 802.1p CoS заголовка 802.1q. все IP / ingress
arp-sender-address
или
arp-target-address  
Выделяют адреса отправителей или получателей в arp-пакете. Не могут быть в одной записи с ethernet-source-address или ethernet-destination-address. Могут быть использованы, только когда база данных ACL на железе настроена в режиме internal. ARP пакеты / ingress

Список условий и действий можно взять в руководстве или с сайта http://xgu.ru/wiki/ExtremeXOS
 
После сохранения файла политики его можно навешивать на порты или вланы.
 
для нашего примера команда будет такой:
 
configure access-list port445 vlan "WAN" ingres
 
что значит навесить политику port445 на влан WAN на входящий трафик.
 
Если обработка идет по 3 уровню, то не забываем, что для этого пакеты должны маршрутизироваться на этом влане, в противном случае работать не будет, что и понятно.
 
В качестве действий правил можно указать deny или permit.
 
Также возможны следующие модификаторы:
 
count <countername> — Для инкриментирования счетчика с именем countername. Для просмотра счетчиков командуем show access-list counters
byte-count < byte counter name > — Increments the byte counter named in the action modifier
packet-count < packet counter name > — Increments the packet counter named in the action modifier
log — Logs the packet header
log-raw—Logs the packet header in hex format
meter <metername> — Takes action depending on the traffic rate
mirror—Sends a copy of the packet to the monitor (mirror) port (ingress only)
mirror-cpu — Mirrors a copy of the packet to the CPU in order to log it (ingress only)
qosprofile <qosprofilename> — Forwards the packet to the specified QoS profile
redirect <ipv4 addr> — Forwards the packet to the specified IPv4 address
redirect-port <port> — Overrides the forwarding decision and changes the egress port used. If the specified port is part of a load share group then this action will apply the load sharing algorithm.

 

 

 

 
av
Ac
07.11.2018/16:11:35
Прсмотров статьи: 394
bad2good