Итак, у меня есть ipsec туннель между оборудование D-Link DFL 860E и оборудованием Cisco ISR4331-SECK9, настройки данного туннеля позволяют устройствам перед D-Link подключаться к устройствам после Cisco. И вот поставили задачу, нужно организовать правила, посредством которых подключение на конкретные узлы за Cisco можно только с определенных адресов. Первое, что я пока на основе своего малого опыта работы с сетевым оборудование предпринял это сделать простейший ACL лист. Проанализировав, как идет пакет от Source to Destination я понял, что нацеливать (ACL лист) нужно на исходящий интерфейс (out) оборудования Cisco. Ладно это я сделал, тут новая задача (ведь нужно думать всегда наперед), а если правил доступа будет несколько и сетей/устройств тоже, прописывать все по одной строке в общий список, а как же документировать.
Выходом из сложившейся ситуации я увидел пока это использование ACL for Object-Group. Т.е. можно создать группы Source, группы Destination, группы Service и уже ими управлять в правилах.
Доступ 500р в месяц к материалам сайта через Telegram
Доступ 500р в месяц к материалам сайта через MAX
Полный доступ к статье только по подписке