Перейти к содержанию

ACL на коммутаторах виртуальной сети (микросегментация)

Правила ACL (микросегментация) предназначены для управления трафиком непосредственно на коммутаторах виртуальной сети.

В разделе Информация свойств виртуальной сети есть свойство Параметры ACL, форма редактирования которых открывается при нажатии на кнопкуimage.

image

Доступны следующие параметры:

  • Режим микросегментации виртуальной сети.

    По умолчанию выключено. Включает или выключает режим работы ACL на коммутаторах виртуальной сети. Не зависит от типа виртуальной сети, с L2 - связностью или без связности.

  • ARP запросы в виртуальной сети.

    По умолчанию включено. Разрешает прохождению ARP - запросов внутри виртуальной сети.

  • Блокировка пакетов с широковещательным адресом отправителя.

    По умолчанию выключено. При включении запрещает запросы с широковещательным адресом отправителя.

  • Изучение MAC - адресов в виртуальной сети.

    По умолчанию включено. Включает механизм изучения MAC - адресов. Создаёт запись соответствия MAC - порт. Время жизни записи - 300 секунд, если не происходит обновления записи.

  • Пересылка STP - запросов через виртуальную сеть.

    По умолчанию выключено. При включении блокирует пересылку STP запросов через виртуальную сеть.

Перед включением режима микросегментации необходимо:

  • Включить использование брандмауэра.

  • В разделе Настройка брандмауэра выбрать политику фильтрации трафика. Для каждой виртуальной сети рекомендуется создавать свою политику фильтрации. См. Контроль трафика.

  • В разделе Информация - Параметры ACL включить режим микросегментации, необходимые опции и применить изменения.

Добавление новых правил, редактирование или удаление существующих осуществляется в разделе Настройки брандмауэра во вкладке ACL. Созданное правило сразу применяется на коммутаторах виртуальной сети.

image

Пример добавления правила блокировки порта 22 (ssh) в виртуальной сети:

image

Правило ACL может содержать два действия - разрешить или блокировать. По умолчанию правило ACL - "блокировать всё". Правила ACL выполняются сверху вниз до первого совпадения. При отсутствии совпадения срабатывает правило "запретить всё". На рисунке выше с примером двух правил, правило 10 не работает для подсети виртуальной сети, т.к. правило 5 разрешает все обращения для этой подсети.

Просмотреть параметры правила или удалить его: image

Или отредактировать параметры: image

После редактирования или удаления правила необходимо в Настройках брандмауэра применить изменения. Об этом информирует статус Состояние политики безопасности. Правила ACL на коммутаторах будут обновлены.