В коммутаторах D-Link реализованы два типа списков управления
доступом: аппаратные (hardware ACL) и программные (software ACL).
Аппаратные ACL осуществляют фильтрацию трафика, проходящего через порты,
а также классификацию QoS. Их важной особенностью является то, что они
не распространяются на трафик, предназначенный для центрального
процессора самого коммутатора, такой как ICMP-запросы к его IP-адресу
управления.
Рассмотрим на примере.
Пусть нам необходимо запретить коммутатору реагировать на пинг (ICMP) от
Компьютера 2, но разрешить ему передавать данные от этого компьютера
другим устройствам в сети, таким как Компьютер 1.
Настройка программных ACL на коммутаторах D-Link включает три ключевых момента:
- Порядок проверки:
Вы можете объединить разные ACL (expert, MAC, IP, IPv6) в одну группу —
"карту фильтрации". Коммутатор проверяет их по порядку: сначала по
номеру, а если номера равны — то по типу (экспертные имеют высший
приоритет). - Включение фильтрации: Чтобы правила заработали, карту нужно привязать к интерфейсам, куда поступает трафик (ingress). Один интерфейс — одна карта.
- Защита от перегрузки:
Software ACL полезны, но могут сами перегрузить процессор при атаке. Поэтому для надежной работы лучше использовать их в паре с функцией Safeguard Engine.
Switch# configure terminal
Switch(config)# ip access-list extended ext2020 2020
Switch(config-ip-ext-acl)# deny icmp host 192.168.1.30 any
Switch(config-ip-ext-acl)# exit
Switch(config)# soft-acl filter-map cpu_filter1
Switch(config-soft-acl)# 2 match ip access-group ext2020
Switch(config-soft-acl)# match interface ethernet 1/0/10
Switch(config-soft-acl)# end
Посмотреть карту фильтрации программного ACL можно с помощью команды show soft-acl filter-map.