| Заголовок поля | Тип данных | Описание
|
|---|
| ID ACLа
| Строка
|
|
| ID устройства
| Число
| Идентификатор элемента.
|
| Наименование
| Строка
| Наименование. Поле обязательно должно быть заполнено.
|
| Номер аксесс-листа
| Строка
| Номер аксесс-листа. Указывается номер аксес-листа или имя (для именованных аксес-листов). Поле обязательно должно быть заполнено.
|
| Тип аксесс-листа
| Значение из списка
| Тип аксесс-листа. Аксесс-лист может быть Динамический, Статический и Статический именованный.
Динамический аксесс-лист обычно преднастраивается на шлюзе. Правила добавляются в аксесс-лист или удаляются из аксесс-листа при возникновении некоторых событий в АСР. Для этого в обработчике событий должна быть настроена обработка соответствующих событий, например, приостановка и возобновление услуг. Обычно содержит шаблоны добавления и удаления и не содержит статическую часть.
Статический аксес-лист содержит статическую часть и шаблон добавления правила. Специальный скрипт периодически делает выборку из БД АСР данных по адресам заблокированных пользователей, формирует список правил для блокировки трафика, после чего формирует полный аксесс-лист из статической части и списка правил. Полученый аксесс-лист применяется на шлюзе.
Статический именованный - статический аксес-лист, преднастроенный на шлюзе. Добавление/удаление правил происходит динамически по событиям. Содержит шаблоны добавления и удаления.
Пример (шаблон добавления статического именованного ACL):
ip access-list extended BLOCK_OUT
UNIP deny ip UIP UINVMASK any
end
Пример (шаблон удаления статического именованного ACL):
ip access-list extended BLOCK_OUT
no UNIP
end. Поле обязательно должно быть заполнено.
|
| Правило блокировки
| Строка
| Правило блокировки доступа. Содержит шаблон для формирования правила аксесс-листа для одного IP-адреса (или подсети), блокирующего доступ.
Может содержать следующие макроимена:
UIP - IP-адрес (подсеть) пользователя
UNIP - IP-адрес в числовом представлении (целое число без знака)
UMASK - маска IP-адреса (подсети)
UINVMASK - инвертированная маска
Макроимена в шаблоне заменяются соответствующими значениями идентифицирующих параметров объекта договора.
Пример: access-template 120 External_in any UIP UINVERTMASK
. Поле обязательно должно быть заполнено.
|
| Правило разблокировки
| Строка
| Правило разблокировки доступа. Шаблон правила аксесс-листа, которое должно разблокировать доступ. Заполняется аналогично шаблону блокирования.
Пример: clear access-template 120 External_in any UIP UINVERTMASK.
|
| Статическая часть
| Строка
| Статическая часть. Постоянная часть статического аксесс-листа. Сформированный список правил добавляется вместо макроимени ACL.
Пример:
no access-list 111
access-list 111 permit ip any host 78.78.108.188
access-list 111 permit ip any host 78.78.108.189
access-list 111 permit ip host 78.78.108.188 any
access-list 111 permit ip host 78.78.108.189 any
access-list 111 deny tcp any any eq 135
access-list 111 deny udp any any eq netbios-ns
access-list 111 deny udp any any eq netbios-dgm
access-list 111 deny udp any any eq netbios-ss
access-list 111 deny tcp any any eq 445
access-list 111 deny tcp any any eq 4444
ACL
access-list 111 permit ip any any
end
.
|