Hur man sätter upp client isolation i Trapeze?

Lathund för client isolation med Trapeze ACL.

OBS! Detta bör endast göras med SERIELL anslutning för att man inte skall bli avskuren från controllern innan alla syntax är slagna. Förutsatt att man sitter på en klient på det berörda nätet.

För att kunna blockera samtliga användare på ett (sub)nät så behöver man sätta upp framförallt 3 regler i en ACL.

Då en ACL fungerar på så sätt att det som kommer först alltid har prio så börjar man med att ge sin Gateway tillåtelse att prata med nätet i fråga. I det här fallet har vi nät 192.168.64.0 och GW sitter då på .1

MX#:set security acl name Nowire permit 192.168.64.1 0.0.0.0

Nu måste vi ge klienterna på nätet tillåtelse att prata med GW också.

MX#:set security acl name Nowire permit ip 0.0.0.0 255.255.255.255 192.168.64.1 0.0.0.0

Nu har vi satt upp 2 regler som tillåter trafik att passera mellan GW och klienterna på nätet. Det som behöver göras nu är att sätta en regel som förbjuder trafik att passera mellan klienter på nätet.

MX#:set security acl name Nowire deny ip 192.168.64.0 0.0.0.255 192.168.64.0 0.0.0.255

Har man flera subnät I spel så kan man vilja sätta en regel som möjligör all trafik som inte matchar ovanstående regler.

MX#:set security acl ip Nowire permit 0.0.0.0 255.255.255.255

Nu är reglerna klara. Det man behöver göra nu är att aktivera dom och binda dom till aktuella vlan och då detta är en väldigt basic demonstration så håller vi oss till det defaulta vlan:et: vlan 1.

MX#:commit security acl Nowire
MX#:set security acl map Nowire vlan 1 out
MX#:set security acl map Nowire vlan 1 in

För att bekräfta att reglerna är på plats så kan man t,ex pinga från en klient på nätet först till GW och sedan till en annan maskin. Har man gjort rätt så kommer ping till GW funka men övriga adresser bör inte vara nåbara.