Access Lists
Durch den Einsatz von Access Lists kann man auf Switchen von Extreme Networks wirkungsvoll den Netzwerktraffic unterbinden. Die Granularität geht dabei bis hinunter zu einem einzelnen Port. Als Beispiel sollen hier SSH- Verbindungen eines Gerätes, das am Port 1:44 eines Switches angeschlossen ist, verhindert werden. Hierzu erstellt man eine Policy- Datei auf dem Switch:# edit policy nossh.polDer Inhalt der Datei ist:
@description "Policy to deny ssh"Der Inhalt der Policy ist, denke ich mal, selbst erklärend. Der Editor verhält sich annähernd wie vi unter Unix/Linux. Nach dem Speichern wird die Policy- Datei auf die anderen Stackmember (soweit vorhanden) verteilt. Die erstellte Policy kann man sich nun anzeigen lassen:
entry sshconnect {
if {
protocol tcp;
destination-port 22;
} then {
deny;
count denySSH;
}
}
* Slot-1 sw101.24 # sh policy "nossh"Diese Policy soll nun an den Port 1:44 gebunden werden:
Policies at Policy Server:
Policy: nossh
@description "Policy to deny ssh"
entry sshconnect {
if match all {
protocol tcp ;
destination-port 22 ;
}
then {
deny ;
count denySSH;
}
}
Number of clients bound to policy: 0
Client: acl bound once
* Slot-1 sw101.22 # configure access-list nossh ports 1:44Ab sofort ist die Sperre für SSH aktiv- Verbindungen zu Port 22 laufen in einen Timeout. Startet man nun auf dem am Port 1:44 angeschlossenen Client Verbindungsversuche, so sieht man das am Switch:
done!
* Slot-1 sw101.24 # sh access-list counterZum Zurücksetzen der Zähler dient der Befehl:
Policy Name Vlan Name Port Direction
Counter Name Packet Count Byte Count
==================================================================
nossh * 1:44 ingress
denySSH 10
* Slot-1 sw101.25 # clear access-list counterNun sind wieder alle Counter auf Null.
* Slot-1 sw101.26 # sh access-list counterWichtig ist, dass an einen Port nur eine Policy gebunden werden kann. Das bedeutet, dass man sich gleich beim Erstellen ausgiebig Gedanken machen sollte was die Policy leisten soll.
Policy Name Vlan Name Port Direction
Counter Name Packet Count Byte Count
==================================================================
nossh * 1:44 ingress
denySSH 0
Zum Ändern einer einmal gebundenen Policy editiert man diese, trennt die Verbindung zwischen access-list und port, und verbindet diese dann wieder.