info Примеры настройки userdefined-access-list на коммутаторах серий SNR-S2965, SNR-S2985G и SNR-S2990

 

Глоссарий

userdefined-access-list - нумерованный тип ACL в интервале 1200-1399.

offset - смещение относительно начала заголовка, в интервале от 0 до 178 юнитов.

unit - единица измерения смещения.

window - окно, в котором находятся значимые байты, доступно 12 окон.

mask - маска для содержимого окна.

 

Принципиальный алгоритм

 

  1. Определить смещения относительно начала заголовка в модели OSI: l2start, l3start и\или l4start. Смещения определяются глобально, то есть распространяются для всех правил, во всех userdefined-access-list, которые будут созданы. Возможно создание различных ACL или одного ACL с несколькими правилами.

  2. Создание ACL и правил фильтрации с возможностью permit\deny для значений окон.

  3. Значения задаются в шестандцатиричной системе счисления (hex). Ведущие нули в содержимом отбрасываются автоматически, в готовой конфигурации их не видно (Пример: destination mac).

  4. Значение маски требуется указывать для всех байт содержимого окна.

 

Примеры настройки userdefined-access-list на коммутаторах серий SNR-S2965 и SNR-S2985G

 

Размер окна (window) для коммутаторов серий SNR-S2965 и SNR-S2985G составляет 2 байта. Единица смещения (unit) составляет 1 байт.

 

Блокировка по destination MAC 00:1F:29:AD:3E:F7

userdefined-access-list standard offset window1 l2start 0 window2 l2start 2 window3 l2start 4
userdefined-access-list standard 1200 deny window1 1f ffff window2 29ad ffff window3 3ef7 ffff

 

Блокировка по source/destination IP

userdefined-access-list standard offset window1 l3start 12 window2 l3start 14 window3 l3start 16 window4 l3start 18
userdefined-access-list standard 1202 deny packet-type ipv4 window1 c0a8 ffff window2 102 ffff
userdefined-access-list standard 1203 deny packet-type ipv4 window3 c0a8 ffff window4 105 ffff

 

Запрет NetBIOS по source/destination портам UDP

userdefined-access-list standard offset window1 l4start 0 window2 l4start 2
userdefined-access-list standard 1204 deny packet-type ipv4 window1 89 ffff window2 89 ffff
userdefined-access-list standard 1204 deny packet-type ipv4 window1 8a ffff window2 8a ffff

 

Блокировка всех arp-сообщений по полю ethertype

userdefined-access-list standard offset window1 l2start 12
userdefined-access-list standard 1200 deny packet-type l2-eth2 window1 806 ffff

 

Блокировка arp-сообщений (ether-type 0x0806) с source mac D0:BF:9C:58:2B:3B

userdefined-access-list standard offset window1 l2start 6 window2 l2start 8 window3 l2start 10 window4 l2start 12
userdefined-access-list standard 1201 deny packet-type l2-eth2 window1 d0bf ffff window2 9c58 ffff window3 2b3b ffff window4 806 ffff

 

Блокировка arp-запросов (who has?) с Sender IP из подсети 192.168.0.0/23

userdefined-access-list standard offset window1 l2start 12 window2 l3start 14 window3 l3start 16
userdefined-access-list standard 1200 deny window1 806 ffff window2 c0a8 ffff window3 0 fe00

 

Примеры настройки userdefined-access-list на коммутаторах серии SNR-S2990

Для коммутаторов серии SNR-S2990 в общем случае размеры окна (window) и единицы смещения (unit) составляют 4 байта. При этом важно отметить, что размер окна при нулевом смещении будет равен 2 байтам, а соответственно смещение на одну еденицу даст сдвиг на 2 байта, смещение на 2 единицы даст сдвиг на 6 байт, на 3 единицы - 10 байт и т.д.

 

Блокировка Ethernet-кадров содержащих D0:BF:9C:58 в первых 4 байтах source MAC

userdefined-access-list offset window1 2
userdefined-access-list 1200 deny packet-type l2-eth2 window1 d0bf9c58 ffffffff

 

Блокировка пакетов с source IP 192.168.0.2

userdefined-access-list offset window1 7
userdefined-access-list 1200 deny packet-type ipv4 window1 c0a80102 ffffffff

 

Блокировка arp-сообщений (ether-type 0x0806) с source MAC 00:1F:29:AD:3E:F7

userdefined-access-list offset window1 3 window2 6 window3 7
userdefined-access-list 1300 deny packet-type l2-eth2 window1 806 ffff window2 1f29ad ffffffff window3 3ef70000 ffff0000