¶ Общая схема стенда
¶ Настройки ip адреса на сетевых интерфейсах
По умолчанию сетевой интерфейс на устройстве находится в состоянии "Down". Для изменения состояния необходимо подключиться к устройству через web-интерфейс. В главном меню выбрать пункт "Сетевые настройки - Интерфейс Ethernet". В таблице "Интерфейсы Ethernet" необходимо выбрать нужный сетевой интерфейс и нажать на кнопку "Редактировать". В новом окне в таблице "Настроить ethernet интерфейс" в поле "Состояние" необходимо задать значение "Up". После изменения состояния для сетевого интерфейса необходимо нажать на кнопку "ОК" и "Сохранить".
Рис. 2 - Настройка ethernet интерфейса
Для настройки ip адреса на сетевом интерфейсе необходимо подключиться к "Diamond" через web интерфейс. В главном меню выбрать пункт "Сетевые настройки - IP адреса". В таблице "IP адреса" необходимо нажать на кнопку "Добавить IP адрес". В новом окне в таблице "Настроить IP адрес" в поле "Название интерфейса" необходимо выбрать сетевой интерфейс "GigabitEthernet5/0/0", в поле "IP адрес/маска подсети" задать сетевой адрес "10.0.100.1/24". После задания ip адреса необходимо нажать на кнопку "ОК" и "Сохранить" (рис. 3).
¶ Создание списка правил ACL и добавление правил фильтрации
По умолчанию список правил ACL отсутствуют. Для создания ACL необходимо подключиться к устройству через web-интерфейс. В главном меню выбрать пункт "Межсетевой экран - Список правил ACL". В таблице "Список правил ACL" необходимо нажать кнопку “Добавить” и выбрать созданный список (рис. 4).
Для создания правила фильтрации необходимо нажать кнопку “Добавить” в таблице "Правила фильтрации", после чего откроется окно “Настроить правило фильтрации” (рис. 5).
¶ Настройка IP-адресов источника или назначения
Для задания IP-адресов источника или назначения необходимо перейти во вкладку «IP», заполнить поле («IP адрес/маска подсети», «Диапазон адресов» или «Группа») в соответствующем столбце и нажать на кнопку «Добавить» напротив поля (рис. 6).
¶ Настройка протокола правила фильтрации для ssh
Для настройки протокола правила фильтрации для ssh необходимо выбрать “TCP” в выпадающем списке “Протокол”, указать порты (для ssh это `22` по умолчанию) (рис. 7) и нажать “Добавить”.
¶ Настройка действия в правиле фильтрации
Для разрешающего действия в правиле фильтрации необходимо выбрать “Permit” в выпадающем списке “Действие”. Для запрещающего действия - “Drop” (рис. 8).
¶ Сохранение правила фильтрации
Для сохранения правила фильтрации необходимо нажать кнопку “ОК” в окне “Настроить правило фильтрации” и “Сохранить” во вкладке “Список правил ACL”.
¶ Создание разрешающего правила фильтрации
По умолчанию блокируются все пакеты, которые не подошли ни под одно разрешающее правило фильтрации. Для изменения этой политики необходимо добавить правило, разрешающее прохождение любых пакетов, не попавших под действие предыдущих правил (рис. 9).
¶ Сохранение списка правил ACL
Для внесения изменений в список правил ACL необходимо нажать на кнопку «Сохранить».
¶ Назначение списка правил ACL на интерфейс
Для назначения списка правил фильтрации необходимо в главном меню выбрать пункт «Межсетевой экран – Назначенные правила», в столбце «Назначенные правила» выбрать интерфейс и направление трафика и нажать на кнопку «Добавить» (рис. 10).
На открывшейся странице «Выбор списка правил» необходимо выбрать из выпадающего списка правило фильтрации (рис. 11) и нажать кнопку «OK».
Для внесения изменений необходимо нажать на кнопку «Сохранить».
¶ Просмотр текущих списков правил ACL через терминал
Для просмотра текущих списков правил ACL через терминал необходимо подключиться к устройству по ssh, перейти в vppctl и выполнить команду “sh acl-plugin acl”:
# vppctl
_______ _ _ _____ ___
__/ __/ _ \ (_)__ | | / / _ \/ _ \
_/ _// // / / / _ \ | |/ / ___/ ___/
/_/ /____(_)_/\___/ |___/_/ /_/
vpp# sh acl-plugin acl
acl-index 0 count 2 tag {ACL0}
0: ext {} ipv4 deny src 0.0.0.0/0 dst 0.0.0.0/0 proto 6 sport 0-65535 dport 22
1: ext {} ipv4 permit src 0.0.0.0/0 dst 0.0.0.0/0 proto 0 sport 0-65535 dport 0-65535
applied inbound on sw_if_index: 10
used in lookup context index: 0
vpp#¶ Просмотр назначенных списков правил ACL на интерфейсы через терминал
Для просмотра назначенных списков правил ACL на интерфейсы через терминал необходимо подключиться к устройству по ssh, перейти в vppctl и выполнить команду “sh acl-plugin interface”:
# vppctl
_______ _ _ _____ ___
__/ __/ _ \ (_)__ | | / / _ \/ _ \
_/ _// // / / / _ \ | |/ / ___/ ___/
/_/ /____(_)_/\___/ |___/_/ /_/
vpp# sh acl-plugin interface
sw_if_index 0:
sw_if_index 1:
sw_if_index 2:
sw_if_index 3:
sw_if_index 4:
sw_if_index 5:
sw_if_index 6:
sw_if_index 7:
sw_if_index 8:
sw_if_index 9:
sw_if_index 10:
input acl(s): 0
sw_if_index 11:
sw_if_index 12:
sw_if_index 13:
sw_if_index 14:
sw_if_index 15:
sw_if_index 16:
sw_if_index 17:
sw_if_index 18:
sw_if_index 19:
sw_if_index 20:
sw_if_index 21:
sw_if_index 22:
sw_if_index 23:
sw_if_index 24:
sw_if_index 25:
sw_if_index 26:
sw_if_index 27:
sw_if_index 28:
sw_if_index 29:
sw_if_index 30:
vpp#