1. Главная
  2. База знаний
  3. Коммутаторы
  4. SNR
  5. Примеры настройки userdefined-access-list на коммутаторах серий SNR-S2965/85 и SNR-S2990

Примеры настройки userdefined-access-list на коммутаторах серий SNR-S2965/85 и SNR-S2990

Примеры настройки userdefined-access-list на коммутаторах серий SNR-S2965/85 и SNR-S2990

Настройка userdefined-access-list на коммутаторах серий SNR-S2965/85

Глоссарий:

userdefined-access-list -  нумерованный тип ACL в интервале 1200-1399

offset - смещение относительно начала заголовка, в интервале от 0 до 178 юнитов.

unit - единица измерения смещения, равна 1 байт.

window - окно в котором находятся значимые байты, замер окна равен 2 байтам, доступно 12 окон.

mask - маска для содержимого окна.

Алгоритм создания:

  1. Определить смещения относительно начала заголовка в модели OSI: l2start, l3start и\или l4start. Смещения определяются глобально, то есть распространяются для всех правил, во всех userdefined-access-list, которые будут созданы. Возможно создание различных ACL или одного ACL с несколькими правилами.

  2. Создание ACL и правил фильтрации с возможностью permit\deny для значений окон.

  3. Значения задаются в системе HEX. Нули в содержимом отбрасываются автоматически, в готовой конфигурации их не видно (Пример: destination mac ).

  4. Значение маски требуется указывать для всех байт содержимого окна.

 

Схематичное изображение заголовков Ethernet, IP и TCP\UDP с выделенными значимыми полями и отмеченными значениями offset для каждого поля, для коммутаторов SNR-S2965/2985 с размером window 2 байта.

Примеры:

Запрет по destination mac  00:1F:29:AD:3E:F7

 

userdefined-access-list standard offset window1 l2start 0 window2 l2start 2 window3 l2start 4

userdefined-access-list standard 1200 deny window1 1f ffff window2 29ad ffff window3 3ef7 ffff

 

Запрет arp-пакетов (ether-type 0806), в которых source mac D0:BF:9C:58:2B:3B

 

userdefined-access-list standard offset window1 l2start 6 window2 l2start 8 window3 l2start 10 window4 l2start 12

userdefined-access-list standard 1201 deny packet-type l2-eth2 window1 d0bf ffff window2 9c58 ffff window3 2b3b ffff window4 806 ffff

 

Запрет по source IP или по destination IP

 

userdefined-access-list standard offset window1 l3start 12 window2 l3start 14 window3 l3start 16 window4 l3start 18

userdefined-access-list standard 1202 deny packet-type ipv4 window1 c0a8 ffff window2 102 ffff

userdefined-access-list standard 1203 deny packet-type ipv4 window3 c0a8 ffff window4 105 ffff

 

Запрет NetBIOS по UDP source и destination портам 137, 138

 

userdefined-access-list standard offset window1 l4start 0 window2 l4start 2

userdefined-access-list standard 1204 deny packet-type ipv4 window1 89 ffff window2 89 ffff

userdefined-access-list standard 1204 deny packet-type ipv4 window1 8a ffff window2 8a ffff

 

Блокировка ARP Who has? с адресом из подсети 192.168.0.0/16 в поле source IP без указания ethertype

 

userdefined-access-list standard offset window1 l3start 14
userdefined-access-list standard 1200 deny window1 c0a8 ffff

 

Блокировка абсолютно всех ARP по полю ethertype

 

userdefined-access-list standard offset window1 l2start 12
userdefined-access-list standard 1200 deny packet-type l2-eth2 window1 806 ffff

 

Блокировка ARP How has? с адресом из подсети 192.168.0.0/23 в поле source IP c указанием ethertype

 

userdefined-access-list standard offset window1 l2start 12 window2 l3start 14 window3 l3start 16
userdefined-access-list standard 1200 deny window1 806 ffff window2 c0a8 ffff window3 0 fe00

 

Настройка userdefined-access-list на коммутаторах серий SNR-S2990

Cмещение (offset) определяет количество 4 байтовых окон (window) от начала определенного указанного заголовка. Для коммутаторов серии SNR-S2990 размер окна  равен 4 байтам. Если смещение задано 0, то первое окно следует считать 2 байта. Маска для байт сравниваются только те байты которые попадают под F, 0 - не сравнивается.

 

Примеры:

Блокировка Ethernet-кадров содержащих первые байты в поле mac-address destination d0:bf:9c:58

userdefined-access-list offset window1 2

userdefined-access-list 1200 deny packet-type l2-eth2 window1 d0bf9c58 ffffffff

 

Блокировка IP-пакетов содержащих первые байты в поле source address 192.168.0.2 (HEX c0a80102)

userdefined-access-list offset window1 7

userdefined-access-list 1200 deny packet-type ipv4 window1 c0a80102 ffffffff

 

Блокировать arp-пакеты, в которых source mac xxxxxxxx (ether-type 0806)

userdefined-access-list offset window1 3 window2 6 window3 7  

userdefined-access-list 1300 deny packet-type l2-eth2 window1 806 ffff window2 xxxxxxxx ffffffff window3 xxxx0000 ffff0000