D-Link • Просмотр темы - DES-3828, админы, помогите оптимизировать правила ACL

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

DES-3828, админы, помогите оптимизировать правила ACL

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 1

[ Сообщений: 4 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

Aengus

Заголовок сообщения: DES-3828, админы, помогите оптимизировать правила ACL

Добавлено: Чт окт 01, 2009 15:24

Зарегистрирован: Чт сен 10, 2009 15:56
Сообщений: 30

- Сеть компании разбита на подсети.Маска подсетей 255.255.255.0.

- Подсети: 10.0.1.0;2.0;4.0;5.0;6.0;7.0;8.0;9.0;10.0;11.0;12.0;13.0;14.0;15.0;16.0;17.0;18.0;19.0;20.0;169.254.0.0;10.0.22.0;10.0.80.0

- Из них 3 подсети,которые должны иметь доступ ко всем подсетям,и к которым должны иметь доступ все остальные подсети:
169.254.0.0;4.0;16.0;22.0.

- Подсеть 10.0.80.0 не должна иметь доступ никуда, кроме 10.0.16.0

- Компьютеры в одной подсети должны видеть друг друга

- Весь остальной трафик запрещен.

Вопрос возник в связи с очень большим количеством правил для профиля №7 (запрет доступа для каждой из подсетей)
Что странно:

Когда я прописываю в одну строчку это правило, перестает работать интернет. (Gateway default указывает на внутренний интерфейс проксика. Если указать проксик в настройках сети, все работает, но меня это не устраивает, ибо я режу трафик пользователям на Cisco ASA 5510, которая стоит после проксика и в случае указания проксика считает только проксик а не пользователей).

create access_profile ip source_ip_mask 0.0.0.0 profile_id 7
config access_profile profile_id 7 add access_id 1 ip source_ip 0.0.0.0 port 1-24 deny

Когда расписываю для каждой подсети свое правило - достигается результат.

create access_profile ip destination_ip_mask 255.255.255.0 profile_id 7
config access_profile profile_id 7 add access_id 1 ip destination_ip 10.0.5.0 port 1-24 deny
...
...
...

Так вот как бы уменьшить количество правил?

Готов скинуть конфиг по запросу.

Спасибо.

Вернуться наверх

Aengus

Заголовок сообщения:

Добавлено: Чт окт 01, 2009 15:29

Зарегистрирован: Чт сен 10, 2009 15:56
Сообщений: 30

Завершающей запрещающий профиль выглядит примерно так:
(И это только для 6 подсетей, всего их 19)

create access_profile ip destination_ip_mask 255.255.255.0 profile_id 7
config access_profile profile_id 7 add access_id 1 ip destination_ip 10.0.13.0 p
ort 1 deny
config access_profile profile_id 7 add access_id 2 ip destination_ip 10.0.13.0 p
ort 2 deny
config access_profile profile_id 7 add access_id 3 ip destination_ip 10.0.13.0 p
ort 3 deny
config access_profile profile_id 7 add access_id 4 ip destination_ip 10.0.13.0 p
ort 4 deny
config access_profile profile_id 7 add access_id 5 ip destination_ip 10.0.13.0 p
ort 5 deny
config access_profile profile_id 7 add access_id 6 ip destination_ip 10.0.13.0 p
ort 6 deny
config access_profile profile_id 7 add access_id 7 ip destination_ip 10.0.13.0 p
ort 7 deny
config access_profile profile_id 7 add access_id 8 ip destination_ip 10.0.13.0 p
ort 8 deny
config access_profile profile_id 7 add access_id 9 ip destination_ip 10.0.13.0 p
ort 9 deny
config access_profile profile_id 7 add access_id 10 ip destination_ip 10.0.13.0
port 10 deny
config access_profile profile_id 7 add access_id 11 ip destination_ip 10.0.13.0
port 11 deny
config access_profile profile_id 7 add access_id 12 ip destination_ip 10.0.13.0
port 12 deny
config access_profile profile_id 7 add access_id 13 ip destination_ip 10.0.13.0
port 13 deny
config access_profile profile_id 7 add access_id 14 ip destination_ip 10.0.13.0
port 14 deny
config access_profile profile_id 7 add access_id 15 ip destination_ip 10.0.13.0
port 15 deny
config access_profile profile_id 7 add access_id 16 ip destination_ip 10.0.13.0
port 16 deny
config access_profile profile_id 7 add access_id 17 ip destination_ip 10.0.13.0
port 17 deny
config access_profile profile_id 7 add access_id 18 ip destination_ip 10.0.13.0
port 18 deny
config access_profile profile_id 7 add access_id 19 ip destination_ip 10.0.13.0
port 19 deny
config access_profile profile_id 7 add access_id 20 ip destination_ip 10.0.13.0
port 20 deny
config access_profile profile_id 7 add access_id 21 ip destination_ip 10.0.13.0
port 21 deny
config access_profile profile_id 7 add access_id 22 ip destination_ip 10.0.13.0
port 22 deny
config access_profile profile_id 7 add access_id 23 ip destination_ip 10.0.13.0
port 23 deny
config access_profile profile_id 7 add access_id 24 ip destination_ip 10.0.13.0
port 24 deny
config access_profile profile_id 7 add access_id 25 ip destination_ip 10.0.17.0
port 1 deny
config access_profile profile_id 7 add access_id 26 ip destination_ip 10.0.17.0
port 2 deny
config access_profile profile_id 7 add access_id 27 ip destination_ip 10.0.17.0
port 3 deny
config access_profile profile_id 7 add access_id 28 ip destination_ip 10.0.17.0
port 4 deny
config access_profile profile_id 7 add access_id 29 ip destination_ip 10.0.17.0
port 5 deny
config access_profile profile_id 7 add access_id 30 ip destination_ip 10.0.17.0
port 6 deny
config access_profile profile_id 7 add access_id 31 ip destination_ip 10.0.17.0
port 7 deny
config access_profile profile_id 7 add access_id 32 ip destination_ip 10.0.17.0
port 8 deny
config access_profile profile_id 7 add access_id 33 ip destination_ip 10.0.17.0
port 9 deny
config access_profile profile_id 7 add access_id 34 ip destination_ip 10.0.17.0
port 10 deny
config access_profile profile_id 7 add access_id 35 ip destination_ip 10.0.17.0
port 11 deny
config access_profile profile_id 7 add access_id 36 ip destination_ip 10.0.17.0
port 12 deny
config access_profile profile_id 7 add access_id 37 ip destination_ip 10.0.17.0
port 13 deny
config access_profile profile_id 7 add access_id 38 ip destination_ip 10.0.17.0
port 14 deny
config access_profile profile_id 7 add access_id 39 ip destination_ip 10.0.17.0
port 15 deny
config access_profile profile_id 7 add access_id 40 ip destination_ip 10.0.17.0
port 16 deny
config access_profile profile_id 7 add access_id 41 ip destination_ip 10.0.17.0
port 17 deny
config access_profile profile_id 7 add access_id 42 ip destination_ip 10.0.17.0
port 18 deny
config access_profile profile_id 7 add access_id 43 ip destination_ip 10.0.17.0
port 19 deny
config access_profile profile_id 7 add access_id 44 ip destination_ip 10.0.17.0
port 20 deny
config access_profile profile_id 7 add access_id 45 ip destination_ip 10.0.17.0
port 21 deny
config access_profile profile_id 7 add access_id 46 ip destination_ip 10.0.17.0
port 22 deny
config access_profile profile_id 7 add access_id 47 ip destination_ip 10.0.17.0
port 23 deny
config access_profile profile_id 7 add access_id 48 ip destination_ip 10.0.17.0
port 24 deny
config access_profile profile_id 7 add access_id 49 ip destination_ip 10.0.19.0
port 1 deny
config access_profile profile_id 7 add access_id 50 ip destination_ip 10.0.19.0
port 2 deny
config access_profile profile_id 7 add access_id 51 ip destination_ip 10.0.19.0
port 3 deny
config access_profile profile_id 7 add access_id 52 ip destination_ip 10.0.19.0
port 4 deny
config access_profile profile_id 7 add access_id 53 ip destination_ip 10.0.19.0
port 5 deny
config access_profile profile_id 7 add access_id 54 ip destination_ip 10.0.19.0
port 6 deny
config access_profile profile_id 7 add access_id 55 ip destination_ip 10.0.19.0
port 7 deny
config access_profile profile_id 7 add access_id 56 ip destination_ip 10.0.19.0
port 8 deny
config access_profile profile_id 7 add access_id 57 ip destination_ip 10.0.19.0
port 9 deny
config access_profile profile_id 7 add access_id 58 ip destination_ip 10.0.19.0
port 10 deny
config access_profile profile_id 7 add access_id 59 ip destination_ip 10.0.19.0
port 11 deny
config access_profile profile_id 7 add access_id 60 ip destination_ip 10.0.19.0
port 12 deny
config access_profile profile_id 7 add access_id 61 ip destination_ip 10.0.19.0
port 13 deny
config access_profile profile_id 7 add access_id 62 ip destination_ip 10.0.19.0
port 14 deny
config access_profile profile_id 7 add access_id 63 ip destination_ip 10.0.19.0
port 15 deny
config access_profile profile_id 7 add access_id 64 ip destination_ip 10.0.19.0
port 16 deny
config access_profile profile_id 7 add access_id 65 ip destination_ip 10.0.19.0
port 17 deny
config access_profile profile_id 7 add access_id 66 ip destination_ip 10.0.19.0
port 18 deny
config access_profile profile_id 7 add access_id 67 ip destination_ip 10.0.19.0
port 19 deny
config access_profile profile_id 7 add access_id 68 ip destination_ip 10.0.19.0
port 20 deny
config access_profile profile_id 7 add access_id 69 ip destination_ip 10.0.19.0
port 21 deny
config access_profile profile_id 7 add access_id 70 ip destination_ip 10.0.19.0
port 22 deny
config access_profile profile_id 7 add access_id 71 ip destination_ip 10.0.19.0
port 23 deny
config access_profile profile_id 7 add access_id 72 ip destination_ip 10.0.19.0
port 24 deny
config access_profile profile_id 7 add access_id 73 ip destination_ip 10.0.9.0 p
ort 1 deny
config access_profile profile_id 7 add access_id 74 ip destination_ip 10.0.9.0 p
ort 2 deny
config access_profile profile_id 7 add access_id 75 ip destination_ip 10.0.9.0 p
ort 3 deny
config access_profile profile_id 7 add access_id 76 ip destination_ip 10.0.9.0 p
ort 4 deny
config access_profile profile_id 7 add access_id 77 ip destination_ip 10.0.9.0 p
ort 5 deny
config access_profile profile_id 7 add access_id 78 ip destination_ip 10.0.9.0 p
ort 6 deny
config access_profile profile_id 7 add access_id 79 ip destination_ip 10.0.9.0 p
ort 7 deny
config access_profile profile_id 7 add access_id 80 ip destination_ip 10.0.9.0 p
ort 8 deny
config access_profile profile_id 7 add access_id 81 ip destination_ip 10.0.9.0 p
ort 9 deny
config access_profile profile_id 7 add access_id 82 ip destination_ip 10.0.9.0 p
ort 10 deny
config access_profile profile_id 7 add access_id 83 ip destination_ip 10.0.9.0 p
ort 11 deny
config access_profile profile_id 7 add access_id 84 ip destination_ip 10.0.9.0 p
ort 12 deny
config access_profile profile_id 7 add access_id 85 ip destination_ip 10.0.9.0 p
ort 13 deny
config access_profile profile_id 7 add access_id 86 ip destination_ip 10.0.9.0 p
ort 14 deny
config access_profile profile_id 7 add access_id 87 ip destination_ip 10.0.9.0 p
ort 15 deny
config access_profile profile_id 7 add access_id 88 ip destination_ip 10.0.9.0 p
ort 16 deny
config access_profile profile_id 7 add access_id 89 ip destination_ip 10.0.9.0 p
ort 17 deny
config access_profile profile_id 7 add access_id 90 ip destination_ip 10.0.9.0 p
ort 18 deny
config access_profile profile_id 7 add access_id 91 ip destination_ip 10.0.9.0 p
ort 19 deny
config access_profile profile_id 7 add access_id 92 ip destination_ip 10.0.9.0 p
ort 20 deny
config access_profile profile_id 7 add access_id 93 ip destination_ip 10.0.9.0 p
ort 21 deny
config access_profile profile_id 7 add access_id 94 ip destination_ip 10.0.9.0 p
ort 22 deny
config access_profile profile_id 7 add access_id 95 ip destination_ip 10.0.9.0 p
ort 23 deny
config access_profile profile_id 7 add access_id 96 ip destination_ip 10.0.9.0 p
ort 24 deny
config access_profile profile_id 7 add access_id 97 ip destination_ip 10.0.11.0
port 1 deny
config access_profile profile_id 7 add access_id 98 ip destination_ip 10.0.11.0
port 2 deny
config access_profile profile_id 7 add access_id 99 ip destination_ip 10.0.11.0
port 3 deny
config access_profile profile_id 7 add access_id 100 ip destination_ip 10.0.11.0
port 4 deny
config access_profile profile_id 7 add access_id 101 ip destination_ip 10.0.11.0
port 5 deny
config access_profile profile_id 7 add access_id 102 ip destination_ip 10.0.11.0
port 6 deny
config access_profile profile_id 7 add access_id 103 ip destination_ip 10.0.11.0
port 7 deny
config access_profile profile_id 7 add access_id 104 ip destination_ip 10.0.11.0
port 8 deny
config access_profile profile_id 7 add access_id 105 ip destination_ip 10.0.11.0
port 9 deny
config access_profile profile_id 7 add access_id 106 ip destination_ip 10.0.11.0
port 10 deny
config access_profile profile_id 7 add access_id 107 ip destination_ip 10.0.11.0
port 11 deny
config access_profile profile_id 7 add access_id 108 ip destination_ip 10.0.11.0
port 12 deny
config access_profile profile_id 7 add access_id 109 ip destination_ip 10.0.11.0
port 13 deny
config access_profile profile_id 7 add access_id 110 ip destination_ip 10.0.11.0
port 14 deny
config access_profile profile_id 7 add access_id 111 ip destination_ip 10.0.11.0
port 15 deny
config access_profile profile_id 7 add access_id 112 ip destination_ip 10.0.11.0
port 16 deny
config access_profile profile_id 7 add access_id 113 ip destination_ip 10.0.11.0
port 17 deny
config access_profile profile_id 7 add access_id 114 ip destination_ip 10.0.11.0
port 18 deny
config access_profile profile_id 7 add access_id 115 ip destination_ip 10.0.11.0
port 19 deny
config access_profile profile_id 7 add access_id 116 ip destination_ip 10.0.11.0
port 20 deny
config access_profile profile_id 7 add access_id 117 ip destination_ip 10.0.11.0
port 21 deny
config access_profile profile_id 7 add access_id 118 ip destination_ip 10.0.11.0
port 22 deny
config access_profile profile_id 7 add access_id 119 ip destination_ip 10.0.11.0
port 23 deny
config access_profile profile_id 7 add access_id 120 ip destination_ip 10.0.11.0
port 24 deny
config access_profile profile_id 7 add access_id 121 ip destination_ip 10.0.20.0
port 1 deny
config access_profile profile_id 7 add access_id 122 ip destination_ip 10.0.20.0
port 2 deny
config access_profile profile_id 7 add access_id 123 ip destination_ip 10.0.20.0
port 3 deny
config access_profile profile_id 7 add access_id 124 ip destination_ip 10.0.20.0
port 4 deny
config access_profile profile_id 7 add access_id 125 ip destination_ip 10.0.20.0
port 5 deny
config access_profile profile_id 7 add access_id 126 ip destination_ip 10.0.20.0
port 6 deny
config access_profile profile_id 7 add access_id 127 ip destination_ip 10.0.20.0
port 7 deny
config access_profile profile_id 7 add access_id 128 ip destination_ip 10.0.20.0
port 8 deny
config access_profile profile_id 7 add access_id 129 ip destination_ip 10.0.20.0
port 9 deny
config access_profile profile_id 7 add access_id 130 ip destination_ip 10.0.20.0
port 10 deny
config access_profile profile_id 7 add access_id 131 ip destination_ip 10.0.20.0
port 11 deny
config access_profile profile_id 7 add access_id 132 ip destination_ip 10.0.20.0
port 12 deny
config access_profile profile_id 7 add access_id 133 ip destination_ip 10.0.20.0
port 13 deny
config access_profile profile_id 7 add access_id 134 ip destination_ip 10.0.20.0
port 14 deny
config access_profile profile_id 7 add access_id 135 ip destination_ip 10.0.20.0
port 15 deny
config access_profile profile_id 7 add access_id 136 ip destination_ip 10.0.20.0
port 16 deny
config access_profile profile_id 7 add access_id 137 ip destination_ip 10.0.20.0
port 17 deny
config access_profile profile_id 7 add access_id 138 ip destination_ip 10.0.20.0
port 18 deny
config access_profile profile_id 7 add access_id 139 ip destination_ip 10.0.20.0
port 19 deny
config access_profile profile_id 7 add access_id 140 ip destination_ip 10.0.20.0
port 20 deny
config access_profile profile_id 7 add access_id 141 ip destination_ip 10.0.20.0
port 21 deny
config access_profile profile_id 7 add access_id 142 ip destination_ip 10.0.20.0
port 22 deny
config access_profile profile_id 7 add access_id 143 ip destination_ip 10.0.20.0
port 23 deny
config access_profile profile_id 7 add access_id 144 ip destination_ip 10.0.20.0
port 24 deny

Вернуться наверх

Bigarov Ruslan

Заголовок сообщения:

Добавлено: Чт окт 01, 2009 15:50

Сотрудник D-LINK

Зарегистрирован: Пт янв 21, 2005 11:52
Сообщений: 11212
Откуда: D-Link, Moscow

Лучше приводить примеры в более читабельном виде ввиде указания диапазона портов в случае использования на них одного и того же правила.

_________________
С уважением,
Бигаров Руслан.

Вернуться наверх

Aengus

Заголовок сообщения:

Добавлено: Чт окт 01, 2009 15:53

Зарегистрирован: Чт сен 10, 2009 15:56
Сообщений: 30

Сори, я просто скопировал кусок конфигурации.
Ок, в след. раз поступлю иначе.

Вернуться наверх

Страница 1 из 1

[ Сообщений: 4 ]

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 16

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения