Benutzer-Werkzeuge

Webseiten-Werkzeuge


policiesmitov

Policies mit OmniVista und R7/R8

Access Controll Listen können über OmniVista angelegt und verwaltet werden. Dies erleichtert die Konfiguration und das spätere Ändern der Listen.

Jede Policie besteht aus einer

  • Policy Condition: Wann soll die Policy greifen?
  • Policy Action: Was soll geschehen?
  • Policy Rule: Welche Aktion folgt auf welche Condition?
  • Validity-Periode: Wann ist die Policy aktiv?

Weiterhin ist wichtig, dass mehrere Policies zu einer Policy-List zusammengefasst werden können. Die Precedence bestimmt in einer Liste, welche Policy zuerst und welche Policy zuletzt greift. Je höher der Wert, desto eher greift die Policy.

Zusätzlich kann bei OmniVista noch Logging für die Policies konfiguriert werden. Dies gibt einen Überblick, wann die Policy greift und welcher Traffic von dieser Policy betroffen ist.

Wichtig: OmniVista unterstützt keine Stateful-Policies. Policies müssen bei bidirektionalem Verkehr auch bidirektional angegeben werden. Soll eine HTTPS-Anfrage von A nach B erlaubt werden, muss auch der HTTPS-Port von B nach A freigegeben werden.

Ein Beispiel wird im folgenden erklärt: Das Menü für Policies befindet sich unter 'Unified Access → Unified Policy' Als erstes ist der Name für die Policy zu setzen. Unter 'Show Advanced Options' kann das Logging eingeschaltet werden. Im nächsten Schritt wird die Policy Condition festgelegt. Alle Eigenschaften der Policy Condition müssen erfüllt sein. Andernfalls wird die Policy nicht aktiviert.

Für eine HTTPS-Kommunikation müssen also zwei Polices angelegt werden:

  • Eine für den Weg zum Server

Hier ist der Ziel-Port der HTTPS-Port und die Ziel-IP-Adresse der Server.

  • Eine für den Weg vom Server zurück

Hier ist der Quell-Port der HTTPS-Port und die Quell-IP-Adresse der Server.

Die Policy Acction ist in diesem Fall 'ACCEPT'.

In der Configuration findet sich nun nach dem Ausrollen der Policy folgende Konfiguration:

-> show configuration snapshot qos

! QOS:
qos log level 8

policy condition LAN1-to-LAN2-https-2Condition from ldap source ip 192.168.200.0 mask 255.255.255.0 destination ip 192.168.2.0 mask 255.255.255.0 ip-protocol 6 destination ip-port 443-443
policy condition LAN1-to-LAN2-httpsCondition from ldap source ip 192.168.200.0 mask 255.255.255.0 destination ip 192.168.2.0 mask 255.255.255.0 ip-protocol 6 source ip-port 443-443

policy action LAN1-to-LAN2-https-2Action from ldap
policy action LAN1-to-LAN2-httpsAction from ldap

policy validity-period AllTheTime from ldap days sunday monday tuesday wednesday thursday friday saturday months january february march april may june july august september october november december

policy rule LAN1-to-LAN2-https-2 from ldap precedence 30008 condition LAN1-to-LAN2-https-2Condition action LAN1-to-LAN2-https-2Action validity-period AllTheTime

policy rule LAN1-to-LAN2-https from ldap precedence 30002 condition LAN1-to-LAN2-httpsCondition action LAN1-to-LAN2-httpsAction validity-period AllTheTime

qos apply

Aus der Konfiguration ist durch den Zusatz 'from ldap' ersichtlich, dass die Konfiguration über OmniVista durchgeführt wurde. Diese Policies sind NICHT über die Konsole zu ändern. Dies muss vom OmniVista aus passieren.

policiesmitov.txt · Zuletzt geändert: 2017/08/14 10:30 von michael-neesen