Хорошо

BGP. Условное сопоставление маршрутов на оборудовании Huawei & Cisco: ACL

351 0 5 0 0

Применение массовых изменений к маршрутам по принципу «от соседа к соседу» (или по принципу «интерфейс за интерфейсом» для IGP) не позволяет легко настроить сеть. В этом посте мы попытаемся рассмотреть некоторые общие методы, используемые для условного сопоставления маршрутов - использование списков управления доступом (ACL), списков префиксов, регулярных выражений (regex), и AS path ACLs.


Access Control Lists


Первоначально списки управления доступом (ACL) предназначались для фильтрации пакетов, поступающих на сетевой интерфейс или исходящих из него, аналогично функциональным возможностям базового брандмауэра. Сегодня ACL обеспечивают классификацию пакетов для различных функции, такие как качество обслуживания (QoS), или для идентификации сетей в пределах протокола маршрутизации. 


ACL состоят из записей управления доступом access control entries (ACEs), которые являются записями в ACL, идентифицирующими действие, которое необходимо предпринять (разрешить или запретить: permit или deny), и соответствующий пакет классификации. Классификация пакетов начинается сверху (lowest sequence) и продолжается вниз (higher sequence), пока не будет идентифицировано соответствующее совпадение. Как только совпадение найдено, то предпринимается соответствующее действие (permit или deny), и обработка останавливается. В конце каждого ACL находится неявный ACE deny, который запрещает все пакеты, которые ранее не совпадали в ACL.


ACL подразделяются на две категории: 

• Стандартные ACL: определение пакетов исключительно на основе исходной сети (source network).

• Расширенные ACL: определение пакетов на основе источника, пункта назначения, протокола, порта и т. д., или комбинации атрибутов пакета. 


Huawei:

Стандартные ACL используют пронумерованные записи 2000–2999 или именованные ACL. 

Расширенные ACL используют пронумерованные записи 3000–3999 или именованные ACL. 

Cisco:

Стандартные ACL используют пронумерованные записи 1–99, 1300–1999 или именованные ACL. Расширенные ACL используют пронумерованные записи 100–199, 2000–2699 или именованные ACL. 



Стандартные ACL


Huawei:

  1. acl [ number ] acl-number [ match-order { auto | config } ]  

    acl name acl-name { basic | acl-number } [ match-order { auto | config } ] 

  2. rule [ rule-id ] { deny | permit } [ source { source-address source-wildcard | any } | vpn-instance vpn-instance-name | [ fragment | none-first-fragment ] | logging | time-range time-name ]


Примеры:


rule permit source any - разрешены все сети

rule permit source 172.16.0.0 0.0.255.255 - разрешены все сети в сети 172.16.0.0.16

rule permit source 192.168.1.1 0 - разрешен только хост 192.168.1.1/32


Cisco:

1.ip access-list standard {aclnumber | acl-name}

2. Конфигурация специальной ACE записи:

[sequence] {permit | deny } source source-wildcard.


Примеры:


permit any - разрешены все сети

permit 172.16.0.0 0.0.255.255 - разрешены все сети в сети 172.16.0.0.16

permit host 192.168.1.1 - разрешен только хост 192.168.1.1/32



Расширенные ACL


Huawei:

  1. acl [ number ] acl-number [ match-order { auto | config } ]

    acl name acl-name { advance | acl-number } [ match-order { auto | config } ]

  2. rule [ rule-id ] { deny | permit } { protocol-number | tcp } [ destination { destination-address destination-wildcard | any } | destination-port { eq port | gt port | lt port | range port-start port-end | port-set port-set-name } | source { source-address source-wildcard | any } | source-port { eq port | gt port | lt port | range port-start port-end | port-set port-set-name } | tcp-flag { ack | fin | psh | rst | syn | urg | established } * | logging | time-range time-name | vpn-instance vpn-instance-name | [ dscp dscp | [ tos tos | precedence precedence ] * ] | [ fragment | none-first-fragment ] | vni vni-id ] *


Cisco:

  1. ip access-list extended {aclnumber | acl-name}

  2. [sequence] {permit | deny } protocol source source-wildcard destination destination-wildcard.



Использовались материалы:

https://support.huawei.com/enterprise/en/doc/EDOC1100086647

https://support.huawei.com/hedex/hdx.do?docid=EDOC1100007335&id=dc_cfg_acl_1001&text=ACL%252520Configuration&lang=en

https://support.huawei.com/hedex/hdx.do?docid=EDOC1100007335&id=dc_cfg_acl_1001&text=ACL%252520Configuration&lang=en

  • x

Комментарий

Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация
Отправить

Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Пользовательское соглашение.”

My Followers

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход

Заблокировать
Вы уверены, что хотите заблокировать этого пользователя?
Пользователи из вашего черного списка не могут комментировать ваши посты, не могут упоминать вас, не могут отправлять личные сообщения.
Напоминание
Пожалуйста, привяжите свой мобильный номер чтобы получить бонус за приглашение.
О защите информации
Благодарим за использование Huawei ICT Club! Мы хотим рассказать вам о том, как мы собираем, используем и храним ваши данные. Пожалуйста, внимательно ознакомьтесь с Политикой конфиденциальности и Пользовательским соглашением.