Access Lists

Durch den Einsatz von Access Lists kann man auf Switchen von Extreme Networks wirkungsvoll den Netzwerktraffic unterbinden. Die Granularität geht dabei bis hinunter zu einem einzelnen Port. Als Beispiel sollen hier SSH- Verbindungen eines Gerätes, das am Port 1:44 eines Switches angeschlossen ist, verhindert werden. Hierzu erstellt man eine Policy- Datei auf dem Switch:
 
# edit policy nossh.pol
  Der Inhalt der Datei ist:  
@description "Policy to deny ssh"
entry sshconnect {
  if {
    protocol tcp;
    destination-port 22;
  } then {
    deny;
 count denySSH;
  }
}
  Der Inhalt der Policy ist, denke ich mal, selbst erklärend. Der Editor verhält sich annähernd wie vi unter Unix/Linux. Nach dem Speichern wird die Policy- Datei auf die anderen Stackmember (soweit vorhanden) verteilt. Die erstellte Policy kann man sich nun anzeigen lassen:  
* Slot-1 sw101.24 # sh policy "nossh"
Policies at Policy Server:
Policy: nossh
@description "Policy to deny ssh"
entry sshconnect {
if match all {
    protocol tcp ;
    destination-port 22 ;
}
then {
    deny  ;
    count denySSH;
}
}
Number of clients bound to policy: 0
Client: acl bound once
  Diese Policy soll nun an den Port 1:44 gebunden werden:  
* Slot-1 sw101.22 # configure access-list nossh ports 1:44
 done!
  Ab sofort ist die Sperre für SSH aktiv- Verbindungen zu Port 22 laufen in einen Timeout. Startet man nun auf dem am Port 1:44 angeschlossenen Client Verbindungsversuche, so sieht man das am Switch:  
* Slot-1 sw101.24 # sh access-list counter
Policy Name       Vlan Name        Port   Direction
    Counter Name                   Packet Count         Byte Count
==================================================================
nossh             *                1:44   ingress
    denySSH                        10
  Zum Zurücksetzen der Zähler dient der Befehl:  
* Slot-1 sw101.25 # clear access-list counter
  Nun sind wieder alle Counter auf Null.  
* Slot-1 sw101.26 # sh access-list counter
Policy Name       Vlan Name        Port   Direction
    Counter Name                   Packet Count         Byte Count
==================================================================
nossh             *                1:44   ingress
    denySSH                        0
  Wichtig ist, dass an einen Port nur eine Policy gebunden werden kann. Das bedeutet, dass man sich gleich beim Erstellen ausgiebig Gedanken machen sollte was die Policy leisten soll.
Zum Ändern einer einmal gebundenen Policy editiert man diese, trennt die Verbindung zwischen access-list und port, und verbindet diese dann wieder.