Применение ACL к устройствам в определённом VLAN'e. (На примере QSW-3900)
Задача:
Необходимо только в определённых VLAN разрешить прохождение заданного типа трафика ( к примеру - для корректной работы рабочих групп Windows) __________________________________________________________________________________
Решение:
1) Создаётся ACL, запрещающий прохождение типа трафика, определённого в задаче.
2) Применяется ACL, созданный в пункте 1.
3) Создаётся ACL, разрешающий прохождение типа траффика, определённого в задаче.
4) Создаётся ACL, выделяющий вланы, определённые в задаче.
5) Применяется сочетание ACL, созданных в пунктах 3 и 4.
Пример:
В настоящее время для предотвращения нежелательного трафика в сети на коммутаторах QSW-3900 ACL сконфигурированы следующим образом:
![QACL] access-list 199 deny udp any any 135 access-list 199 deny udp any any 137 access-list 199 deny udp any any 138 access-list 199 deny udp any any 139 access-list 199 deny udp any any 445 access-list 199 deny tcp any any 135 access-list 199 deny tcp any any 137 access-list 199 deny tcp any any 138 access-list 199 deny tcp any any 139 access-list 199 deny tcp any any 445 access-group ip-group 199 subitem 0 access-group ip-group 199 subitem 1 access-group ip-group 199 subitem 2 . . . . . .
Необходимо в двух VLAN (2603 и 2604) разрешить прохождение такого трафика (для корректной работы рабочих групп Windows), а во всех остальных оставить запрещённым.
access-list 150 permit udp any any 135 access-list 150 permit udp any any 137 access-list 150 permit udp any any 138 access-list 150 permit udp any any 139 access-list 150 permit udp any any 445 access-list 150 permit tcp any any 135 access-list 150 permit tcp any any 137 access-list 150 permit tcp any any 138 access-list 150 permit tcp any any 139 access-list 150 permit tcp any any 445 access-list 199 deny udp any any 135 access-list 199 deny udp any any 137 access-list 199 deny udp any any 138 access-list 199 deny udp any any 139 access-list 199 deny udp any any 445 access-list 199 deny tcp any any 135 access-list 199 deny tcp any any 137 access-list 199 deny tcp any any 138 access-list 199 deny tcp any any 139 access-list 199 deny tcp any any 445 access-list 230 permit ingress 2603 2604 egress any access-group ip-group 199 subitem 0 access-group ip-group 199 subitem 1 access-group ip-group 199 subitem 2 access-group ip-group 199 subitem 3 access-group ip-group 199 subitem 4 access-group ip-group 199 subitem 5 access-group ip-group 199 subitem 6 access-group ip-group 199 subitem 7 access-group ip-group 199 subitem 8 access-group ip-group 199 subitem 9 access-group ip-group 150 subitem 0 link-group 230 subitem 0 access-group ip-group 150 subitem 1 link-group 230 subitem 0 access-group ip-group 150 subitem 2 link-group 230 subitem 0 access-group ip-group 150 subitem 3 link-group 230 subitem 0 access-group ip-group 150 subitem 4 link-group 230 subitem 0 access-group ip-group 150 subitem 5 link-group 230 subitem 0 access-group ip-group 150 subitem 6 link-group 230 subitem 0 access-group ip-group 150 subitem 7 link-group 230 subitem 0 access-group ip-group 150 subitem 8 link-group 230 subitem 0 access-group ip-group 150 subitem 9 link-group 230 subitem 0
К списку
