ACL на коммутаторах виртуальной сети (микросегментация)

Общие сведения

Правила ACL (микросегментация) предназначены для управления трафиком непосредственно на коммутаторах виртуальной сети.

Параметры ACL

Для просмотра параметров ACL необходимо перейти на вкладку Сети - Виртуальные сети - Информация и нажать на кнопку в строке Параметры ACL.

Форма редактирования параметров открывается при нажатии на кнопку .

Для редактирования доступны следующие параметры:

• Режим микросегментации виртуальной сети.

  Включает/выключает режим работы ACL на коммутаторах виртуальной сети.

• ARP-запросы в виртуальной сети.

  Разрешает прохождение ARP-запросов внутри виртуальной сети.

• Блокировка пакетов с широковещательным адресом отправителя.

  Запрещает запросы с широковещательным адресом отправителя.

• Изучение MAC-адресов в виртуальной сети.

  Включает механизм изучения MAC-адресов. Создаются записи соответствия типа "MAC - порт".
  Время жизни записи - 300 секунд, если не происходит ее обновления.

• Пересылка STP-запросов через виртуальную сеть.

  Блокирует пересылку STP-запросов через виртуальную сеть.

• Отслеживание состояний.

  Включает возможность отслеживать сессии в виртуальной сети, а также обеспечивает работу правил фильтрации с контролем состояний.

Включение режима микросегментации

Перед включением режима микросегментации необходимо:

• Включить использование брандмауэра.

• Во вкладке Настройка брандмауэра выбрать политику фильтрации трафика.

  Для каждой виртуальной сети рекомендуется создавать свою политику фильтрации. См. Контроль трафика.

Для включения микросегментации необходимо перейти на вкладку Информация - Параметры ACL, установить необходимые параметры и применить изменения.

По умолчанию включены параметры, необходимые для работы сети.

Добавление правил

Добавление новых правил выполняется во вкладке Настройки брандмауэра - ACL. При добавлении правила необходимо в открывшемся окне заполнить следующие поля:

• Индекс.

  Порядковый номер правила.

• Действие.

  Может принимать значения:

  • accept - разрешить трафик.

  • drop - запретить трафик.

• Протокол.

  Протокол, на который будет распространяться правило:

  • icmp - протокол управляющих сообщений в сети.

  • tcp - протокол гарантированной передачи данных.

  • udp - протокол негарантированной передачи данных.

  • sctp - протокол передачи данных с управлением потока.

  • none - правило брандмауэра будет распространено на любой протокол.

• Состояние соединения.

  Фильтрация пакетов с учётом состояния:

  • new - новый пакет, не принадлежащий ни одному из известных соединений.

  • established - пакет, принадлежащий существующему соединению.

  • related - пакет, созданный другим соединением.

  • invalid - всё, что не относится к вышеперечисленным состояниям.

  Важно

  Для работы контроля за состоянием соединения необходимо включить параметр ACL Отслеживание состояний во вкладке Информация виртуальной сети.

• Параметры, соответствующие выбранному протоколу.
  Для icmp.

  • ICMP тип.

  • ICMP код.

  Для tcp и udp.

  • Порт источника.

  • Порт назначения.

    Примечание

    Допускается указывать порты как по одному, так и диапазоном.
    Например, "80,443,50000-61000".

• Адрес источника.

• Адрес назначения.

• Описание.

• Включить.

  После применения правило будет участвовать в фильтрации пакетов.

Редактирование/удаление правила

Для просмотра/редактирования/удаления правила необходимо перейти в подробный режим просмотра правила (нажать на его имя).

Элементы управления вкладки Параметры правила:

• Обновить.

  Обновление содержимого окна управления.

• Изменение параметров.

  Внесение изменений в параметры правила.

• Удалить.

  Удаление правила.