Cuprins

Obiectiv

Cerințe

Introducere

Configurare

Concluzie

Întrebări frecvente

Obiectiv

Cele de mai jos prezintă modul de administrare al rețelei prin configurarea ACL pe routerul integrat Fusion Omada.

Cerințe

• Router (Gateway) Fusion Omada

Introducere

ACL (Access Control List) permite unui administrator de rețea să creeze reguli pentru a restricționa accesul la resursele rețelei. Regulile ACL filtrează traficul pe baza unor criterii specificate, precum IP Subnet, Network, Device, o aplicație specifică sau un port special, și determină dacă pachetele care corespund acestor criterii sunt redirecționate. Aceste reguli pot fi aplicate unor clienți sau grupuri specifice ale căror fluxuri de trafic trec prin router.

Sistemul filtrează traficul în funcție de regulile din listă, în ordine secvențială. Prima regulă care se potrivește determină dacă pachetul este permis sau blocat, iar regulile următoare nu mai sunt verificate după identificarea primei potriviri. Prin urmare, ordinea regulilor este esențială.

• În mod implicit, regulile sunt prioritizate în funcție de momentul creării lor. Regula creată mai devreme este verificată cu prioritate mai mare.
• Prioritatea regulilor ACL poate fi ajustată atât prin glisare și plasare (drag-and-drop), cât și prin atribuirea manuală a unui index personalizat.
• Dacă niciuna dintre reguli nu se potrivește, dispozitivul redirecționează pachetul datorită unei clauze Permit All.

Configurare

ACL-urile (Access Control Lists) de pe routerele Omada permit controlul traficului care circulă între diferite rețele sau pe baza unor aplicații specifice. Aici prezentăm două scenarii uzuale:

1. Blocarea traficului între rețele: Blocați toate comunicațiile dintre două subrețele (de exemplu, între VLAN1 și VLAN10)
2. Application‑based ACL: Blocați traficul asociat unor aplicații specifice (de exemplu, rețele sociale sau aplicații de partajare a fișierelor)

Configurarea unui ACL pentru blocarea traficului între rețele

În continuare este prezentat modul de utilizare a funcției ACL. Ne vom concentra asupra configurării acesteia pe routerul Fusion Omada. Consultați topologia simplificată a rețelei prezentată mai jos. Există două departamente conectate la routerul Fusion prin switch-uri Omada. Calculatoarele trebuie să aibă acces la Internet, însă nu trebuie să poată comunica cu calculatoarele din celelalte departamente.

Pasul 1. Configurează topologia de mai sus și finalizează configurarea VLAN 10 (192.168.1.1/24) pentru departamentul Marketing și VLAN 1 (192.168.0.1/24) pentru departamentul Cercetare și Dezvoltare (R&D).

Pasul 2. Mergi la Network Config > Traffic Management > ACL și intră în pagina Gateway ACL.

Pasul 3. Clic pe Create New Rule. Definește criteriile de filtrare a pachetelor pentru regulă, inclusiv protocoalele, sursa și destinația, apoi stabilește dacă pachetele care corespund regulii vor fi permise sau blocate.

Prima regulă are rolul de a împiedica departamentul Marketing să acceseze departamentul R&D. Poți configura blocarea traficului din Default Network (R&D VLAN 1) către VLAN10 Network pentru toate protocoalele.

Note:

Name: Introdu un nume pentru identificarea ACL-ului.

Status: Activează opțiunea pentru a permite aplicarea ACL-ului.

Protocols: Selectează din lista drop-down unul sau mai multe tipuri de protocoale asupra cărora se aplică regula.

• Valoarea implicită este All, ceea ce înseamnă că vor fi analizate pachetele tuturor protocoalelor.
• Poți face clic pe +Custom pentru a defini protocoale personalizate.

• Atunci când selectezi TCP/UDP sau All, poți configura numărul portului unui pachet ca criteriu de filtrare în cadrul regulii.

• Atunci când selectezi ICMP/ICMPv6, poți utiliza câmpurile ICMP Type și ICMP Code ale unui pachet drept criterii de filtrare în cadrul regulii.

ICMP Type: Permite potrivirea traficului cu un anumit tip ICMP. Valoarea 255 indică faptul că sunt incluse toate tipurile. Pachetele ICMP pentru care atât tipul, cât și codul corespund valorilor configurate sunt considerate pachete țintă.

ICMP Code: Potrivește traficul cu un anumit cod ICMP. Valoarea 255 înseamnă că sunt incluse toate codurile. Pachetele ICMP pentru care atât câmpul Type, cât și câmpul Code corespund valorilor configurate sunt considerate pachete țintă.

4. Policy: Selectează acțiunea care va fi aplicată atunci când un pachet corespunde regulii.

• Deny: Blochează pachetul care corespunde regulii.
• Permit: Permite redirecționarea pachetului care corespunde regulii.

5. Direction: Specifică interfața sursă/destinație pentru regulă. Poți selecta LAN, WAN sau VPN.

• LAN: Potrivește traficul dinspre/către LAN.
• WAN: Potrivește traficul dinspre/către WAN-ul specificat.
• VPN: Potrivește traficul dinspre/către VPN-ul specificat.

6. Source/Destination Type: Selectează tipul sursei/destinației pentru regula creată.

• Any: Potrivește tot traficul.
• Device: Potrivește traficul provenit de la un anumit dispozitiv.
• Network: Potrivește traficul dinspre/către o anumită rețea. Dacă nu ai creat nicio rețea, poți selecta rețeaua implicită (LAN) sau poți merge la Network Config > Network Settings > LAN pentru a crea una.
• IPv4/v6: Potrivește traficul dinspre/către o anumită adresă IP sau un grup IP. Dacă nu ai creat niciun grup IP, fă clic pe + Add IP Group în această pagină sau mergi la Network Config > Profile > Groups pentru a crea unul.
• MAC: Potrivește traficul provenit de la o anumită adresă MAC, OUI sau grup MAC. Dacă nu ai creat niciun grup MAC, fă clic pe + Add MAC Group în această pagină sau mergi la Network Config > Profile > Groups pentru a crea unul.
• Domain: Potrivește traficul provenit de la un anumit domeniu sau grup de domenii. Dacă nu ai creat niciun grup de domenii, fă clic pe + Add Domain Group în această pagină sau mergi la Network Config > Profile > Groups pentru a crea unul.
• Gateway Management IP: Potrivește traficul destinat adreselor IP ale interfețelor WAN și LAN ale routerului.

7. Source/Destination Port:

Configurarea porturilor este disponibilă doar pentru traficul TCP și UDP.

Poți specifica un port TCP/UDP sau poți selecta Any.

• Dacă selectezi "Any":
  Regula va potrivi tot traficul TCP/UDP, indiferent de portul utilizat, excluzând în continuare traficul care nu folosește protocoalele TCP sau UDP.
• Dacă selectezi un port specific:
  Regula va potrivi doar traficul TCP/UDP care utilizează portul specificat. Traficul care folosește alte protocoale (de exemplu, ICMP) nu va fi inclus.

Atunci când selectezi un port specific, va fi disponibilă opțiunea Match Opposite Port.

• Dacă "Match Opposite Port" este activat:
  Regula se va aplica tuturor porturilor, cu excepția portului selectat.

Step 4. Expand Advanced Settings, you can enable the Bi-Funcția Directional este pentru a crea cealaltă regulă ACL simultană cu direcția opusă.

Notă: Doar direcția este inversată; toate celelalte configurări rămân identice.

1. IP Version: Specifică versiunea IP pentru care se aplică regula: IPv4 sau IPv6.
2. Log: Când este activată, sistemul poate colecta jurnalele de funcționare ale regulii ACL. Pentru a utiliza această funcție, trebuie mai întâi să configurezi funcția de logare la distanță.
3. Time Range: Creează un interval de timp sau selectează unul existent pentru a stabili când regula ACL este activă.
4. Bi-Directional: În direcția LAN-LAN, bifează această opțiune pentru ca Routerul să creeze automat o regulă ACL simetrică suplimentară cu numele "xxx_reverse", unde "xxx" reprezintă numele ACL-ului curent. Cele două reguli ACL se aplică traficului care circulă în direcții opuse.
5. States Type: Stabilește tipul regulii ACL stateful. Se recomandă utilizarea opțiunii implicite Auto.

• Auto: otrivește conexiunile aflate în stările New, Established și Related.
• Manual: Dacă selectezi această opțiune, poți specifica manual stările conexiunilor care trebuie potrivite.
  1. Match State New: Potrivește conexiunile aflate în starea inițială. De exemplu, atunci când un pachet SYN ajunge într-o conexiune TCP sau când routerul primește trafic doar într-o singură direcție.
  2. Match State Established: Potrivește conexiunile deja stabilite. Cu alte cuvinte, Firewall-ul a detectat comunicare bidirecțională pentru acea conexiune.
  3. Match State Related: Potrivește subconexiunile asociate unei conexiuni principale, cum ar fi o conexiune către un canal de date FTP.
  4. Match State Invalid: Potrivește conexiunile care nu se comportă conform așteptărilor.

Pasul 5. Clic pe Apply pentru a finaliza configurarea regulii Gateway ACL de mai sus.

Note：

1. Poți glisa intrările pentru a ajusta ordinea în care regulile sunt aplicate.
2. În același timp, poți modifica indexul pentru a ajusta ordinea regulilor.

Sistemul filtrează traficul în funcție de regulile din listă, în ordine secvențială. Prima regulă care se potrivește determină dacă pachetul este acceptat sau blocat, iar celelalte reguli nu mai sunt verificate după prima potrivire.

Prin urmare, ordinea regulilor este esențială.

• În mod implicit, regulile sunt prioritizate în funcție de momentul în care au fost create. Regula creată mai devreme este verificată cu prioritate mai mare.
• Prioritatea regulilor ACL poate fi ajustată atât prin glisare și plasare (drag-and-drop), cât și prin atribuirea unui index personalizat.
• Dacă nicio regulă nu se potrivește, dispozitivul redirecționează pachetul datorită unei reguli implicite de tip Permit All.

Pasul 6. Verificarea

Computerul 1 din departamentul R&D este conectat la VLAN1 și are adresa IP 192.168.0.100, iar Computerul 2 din departamentul Marketing este conectat la VLAN10 și are adresa IP 192.168.10.101. Computerul 1 nu poate efectua ping către Computerul 2, iar în același timp Computerul 2 nu poate efectua ping către Computerul 1.

Configurarea unui App-based ACL

Routerul Fusion Omada oferă funcția ACL bazată pe aplicații (APP Based ACL), care îți permite să controlezi traficul din rețea în funcție de aplicații. Această funcție suportă controlul traficului atât pentru aplicații specifice, cât și pentru categorii de aplicații. În mod implicit, dispozitivul permite accesul la toate aplicațiile. Poți configura reguli ACL pentru a bloca accesul la anumite aplicații din rețele desemnate. Regulile ACL bazate pe aplicații nu suportă politica "Permit".

Pasul 1. Accesează Network Config > Traffic Management > ACL și intră în secțiunea Gateway ACL. Clic pe + Create New Rule pentru a crea o nouă regulă Gateway ACL.

Pasul 2. În pagina Create New Rule, configurează parametrii regulii pentru a defini modul în care ACL-ul controlează traficul din rețea.

TPentru a configura un App-Based ACL trebuie să setezi Policy pe Deny, Source pe LAN, Destination pe WAN și IP Version pe IPv4.

Notă: Momentan App-Based ACL suportă doar Deny Policy, LAN to WAN Direction , IP version 4 și doar States Type Auto.

Apoi setează Type pe Destination la Application și selectează aplicația care trebuie identificată:

• App: Potrivește una sau mai multe aplicații specifice și este potrivit pentru control precis.
• Category: Potrivește categorii de aplicații și este potrivit pentru control pe categorii.

În cele de mai jos, configurăm o regulă care blochează accesul rețelei Client la aplicațiile din categoria Streaming.

După finalizarea configurării, clic pe Apply pentru a salva regula.

Pasul 3. Verificarea

Folosește un PC din rețeaua Client și încearcă să accesezi o locație blocată.

Concluzie

Urmând pașii de mai sus, ai configurat cu succes Gateway ACL pe Routerul Fusion Omada. Poți configura această funcție în funcție de cerințele rețelei tale.

Întrebări frecvente

Î1: Ce este Gateway ACL?
R: Gateway ACL (Access Control List) permite administratorilor să creeze reguli care filtrează traficul ce trece prin Router pe baza unor criterii precum IP subnet, rețea, dispozitiv, aplicație sau port. Acesta decide dacă pachetele care corespund regulilor sunt permise sau blocate, contribuind la controlul accesului și la securitatea rețelei.

Î2: Cum funcționează prioritatea regulilor în Gateway ACL?
R: Sistemul verifică regulile în ordine, de sus în jos. Prima regulă care se potrivește traficului determină acțiunea aplicată (Permit sau Deny), iar nicio altă regulă nu mai este evaluată după aceea. În mod implicit, regulile sunt prioritizate în funcție de momentul creării lor (regulile mai vechi au prioritate mai mare). De asemenea, poți reordona regulile prin glisare și plasare (drag-and-drop) sau prin atribuirea unor indici personalizați.

Î3: Cum pot bloca comunicarea între două VLAN-uri folosind Gateway ACL?
R: Creează o regulă în care rețeaua sursă este unul dintre VLAN-uri (de exemplu, Marketing VLAN10), iar rețeaua destinație este celălalt VLAN (de exemplu, R&D VLAN1), setează politica la „Deny” și aplică regula în direcția LAN. Astfel, traficul dintre cele două VLAN-uri va fi blocat. Pentru blocarea traficului în ambele direcții, activează funcția Bi-Directional.

Î4: De ce regula mea ACL nu funcționează conform așteptărilor?
R: Cauzele posibile includ:

• Ordinea regulilor este incorectă (o regulă cu prioritate mai mare poate fi aplicată prima).
   
• Tipul sursei/destinației sau setările porturilor nu sunt configurate corespunzător.
   
• Regula este dezactivată (opțiunea Status este dezactivată).
   
• Intervalul de timp configurat nu este activ.
   
• Există o regulă implicită "Permit All" la final. Dacă nicio regulă nu se potrivește, traficul este permis. Verifică criteriile regulii și ordinea regulilor.
• Scenariu special: Regula ACL curentă care utilizează Device Type se bazează pe potrivirea adreselor MAC. În scenariile care implică rutare Layer 3, adresele MAC sursă și destinație nu se potrivesc conform așteptărilor. Mai exact, pentru clienții conectați la switch-uri aflate în subrețele diferite, controlul accesului bazat pe dispozitiv nu este aplicat, ceea ce conduce la funcționarea anormală a funcțiilor asociate.

Î5: Ce este funcția "Match Opposite Port" în ACL?
R: Atunci când selectezi un anumit port TCP/UDP și activezi opțiunea „Match Opposite Port”, regula se aplică tuturor tipurilor de trafic, cu excepția portului selectat. Acest lucru include traficul TCP/UDP pe alte porturi, precum și tot traficul non-TCP/UDP (de exemplu, ICMP). Portul selectat este exclus din criteriile de potrivire ale regulii.

Î6: Ce face funcția Bi-Directional?
R: Atunci când este activată, funcția Bi-Directional determină Routerul să creeze automat o a doua regulă ACL cu direcția opusă (de exemplu, de la destinație către sursă), utilizând aceiași parametri de configurare. Regula inversă este denumită "xxx_reverse". Această funcție este utilă pentru blocarea sau permiterea comunicației bidirecționale prin configurarea unei singure reguli ACL. De notat că opțiunea Bi-Directional este disponibilă numai pentru regulile ACL configurate în direcția LAN-to-LAN.

Î7: Ce trebuie să fac dacă utilizatorii pot accesa în continuare un anumit site web după configurarea unei reguli ACL de tip Deny bazată pe aplicații?
R: Este posibil ca domeniul respectiv să nu fie inclus în baza de date actuală a aplicațiilor. În acest caz, se recomandă utilizarea funcției Content Filtering împreună cu ACL bazat pe aplicații. Lista de blocare (Block List) din Category Filtering poate fi utilizată pentru a bloca site-uri web specifice care nu sunt incluse în baza de date a categoriilor. Pentru mai multe informații despre funcția Content Filtering, consultă articolele asociate.

Î8: După configurarea unei reguli ACL de tip Deny, de ce anumite părți ale paginii web sau unele pictograme se încarcă în continuare?
R: Acest comportament poate fi cauzat de memoria cache a browserului. Încearcă să ștergi memoria cache a browserului sau să testezi accesul folosind modul incognito/privat.

Î9: Cum pot afla ce aplicații sunt incluse într-o categorie de aplicații?
R: Poți verifica acest lucru în meniul Network Config > Security > Application Control.

Î10: Este necesar să activez Deep Packet Inspection pentru a utiliza App-Based ACL?
R: Nu, nu este necesar să activezi Deep Packet Inspection în meniul Network Config > Security > Application Control pentru a utiliza App-Based ACL.

Î11: Poate fi aplicat Gateway ACL pentru clienți VPN (de exemplu, L2TP/PPTP)?
R: Da. Gateway ACL permite selectarea tipurilor de sursă L2TP Client sau PPTP Client. Totuși, aceste opțiuni sunt disponibile numai după ce ai creat cu succes conexiunea corespunzătoare de tip L2TP sau PPTP Client pe Fusion Router. După stabilirea conexiunii VPN, poți crea reguli ACL pentru a permite sau bloca traficul către sau dinspre respectiva interfață VPN.

Pentru informații detaliate despre fiecare funcție și opțiune de configurare, accesează Download Center și descarcă manualul produsului tău.