Jump to content

ip access list на SCE

wtyd
 Share

Recommended Posts

wtyd

wtyd

Posted
Posted

Хотим перенести на SCE фильтрацию ip-адресов и ssl (фильтрация по ip и портам из запретинфо, url у нас уже на SCE фильтруется) с маршрутизатора, т.к. там уже 13+ тысяч записей получается и TCAM начал ругаться. Не смогли с ходу найти аналог обычного ip access-group <acl name> in на SCE. Ну и ещё надо чтобы acl подгружался командами telnet. Т.е. есть acl (список команд), который генерит скрипт, надо его загружать на SCE чтобы тупо фильтровать по ip и портам пролетающий через SCE трафик. На expect или ещё как, url загружаем expect'ом по telnet.

 

Подскажите, пожалуйста, как такое сделать на SCE2000 ?

buckethead

buckethead

Posted
Posted

Что мешает автоматически заливать префиксы в зону, как делается это с флейвором для фильтрации URL, и создавать во всех пакетах правило с блоком и протоколом, который основан на этой зоне?

wtyd

wtyd

Posted
  • Author
Posted (edited)

Что мешает автоматически заливать префиксы в зону, как делается это с флейвором для фильтрации URL, и создавать во всех пакетах правило с блоком и протоколом, который основан на этой зоне?

 

Ну я что-то даже не знаю, что сказать :-). Я в SCE не очень, я только составление списка сделал и на expect скрипт написал, а вот как SCE внутри работает, что там можно, как архитектура сделана, я этого не знаю. Я наверное ошибаюсь, но фловер тот с url на 80-ый порт навешивается, нет ? Т.е. в один флавор ещё и ойпи с портами напихать наверное нельзя, но я поэтому и спросил. Как правильно-то ?

 

В Classification что надо выбрать ? Под Browsing это не подходит

Edited by wtyd
wtyd

wtyd

Posted
  • Author
Posted

Что мешает автоматически заливать префиксы в зону, как делается это с флейвором для фильтрации URL, и создавать во всех пакетах правило с блоком и протоколом, который основан на этой зоне?

 

Пока не знаю, какими командами заливать что-то на SCE кроме url. url заливается так:

int LineCard 0
sce-url-database import cleartext-file ftp://user:password@192.168.2.3/path/to/url.txt flavor-id 125

 

флавор 125 был создан через GUI. Как сделать заливку списка с запрещёнными ip, доступ к которым надо закрыть на порт 443, непонятно. Нет там команды типа sce-ip-database import ...

 

Не подскажете команды cli в сторону которых копать ?

buckethead

buckethead

Posted
Posted

В сторону документации. В SCA BB создаётся Zone, это упорядоченный список префиксов внутри железки. Через API (есть официальная документация) на Java есть возможность эту зону пополнить адресами.

Соответственно создаётся новый протокол, в основе которого zone или привязывается к текущему, где у вас flavor, не уверен, будет ли блокировать и то, и то сразу, или придётся отдельные протокол-правило делать.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.