Перейти к содержанию

ACL на коммутаторах виртуальной сети (микросегментация)

Правила ACL (микросегментация) предназначены для управления трафиком непосредственно на коммутаторах виртуальной сети.

Во вкладке Информация свойств виртуальной сети есть свойство Параметры ACL. Посмотреть текущее состояние настроек можно, нажав на кнопку раскрытия списка image

Форма редактирования параметров открывается при нажатии на кнопку image

Доступны следующие параметры:

  • Режим микросегментации виртуальной сети.

По умолчанию выключено. Включает или выключает режим работы ACL на коммутаторах виртуальной сети. Не зависит от типа виртуальной сети, с L2 - связностью или без связности.

  • ARP-запросы в виртуальной сети.

По умолчанию включено. Разрешает прохождению ARP-запросов внутри виртуальной сети.

  • Блокировка пакетов с широковещательным адресом отправителя.

По умолчанию выключено. При включении запрещает запросы с широковещательным адресом отправителя.

  • Изучение MAC-адресов в виртуальной сети.

По умолчанию включено. Включает механизм изучения MAC-адресов. Создаёт запись соответствия MAC - порт. Время жизни записи - 300 секунд, если не происходит обновления записи.

  • Пересылка STP-запросов через виртуальную сеть.

По умолчанию выключено. При включении блокирует пересылку STP-запросов через виртуальную сеть.

Перед включением режима микросегментации необходимо:

  • Включить использование брандмауэра.
  • Во вкладке Настройка брандмауэра выбрать политику фильтрации трафика. Для каждой виртуальной сети рекомендуется создавать свою политику фильтрации. См. Контроль трафика.
  • Во вкладке Информация -- Параметры ACL включить режим микросегментации, необходимые опции и применить изменения. По умолчанию включены опции, необходимые для работы сети.

Добавление новых правил, редактирование или удаление существующих выполняется во вкладке Настройки брандмауэра -- ACL. Созданное правило сразу применяется на коммутаторах виртуальной сети. Правило ACL может содержать два действия - разрешить или блокировать. Правила ACL выполняются сверху вниз до первого совпадения. По умолчанию разрешено всё.

Пример добавления правила блокировки порта 22 (ssh) в виртуальной сети:

image

Порты можно указывать как по одному, так и диапазоном. Например, 80,443,50000-61000. Адреса можно указывать в виде списка подсетей.

Добавленное правило:

image

Просмотреть параметры правила можно, нажав на само правило.

image

Здесь же можно удалить правило или вызвать форму редактирования правила.

Внимание

После редактирования или удаления правила необходимо в Настройках брандмауэра применить изменения. Об этом информирует статус Состояние политики безопасности. После этого правила ACL на коммутаторах будут обновлены.