(!) Фильтрация PPPoE-соединений с помощью фильтров кадров (Generic Filter) в xDSL-модеме

Как в xDSL-модеме настроить фильтрацию PPPoE-соединений?

В xDSL-модемах ZyXEL имеется функция фильтрации проходящих через устройство пакетов на основе IP- и MAC-адресов.
В данной статье мы рассмотрим вариант настройки фильтрации PPPoE-трафика в xDSL-модеме.


Предположим, что в модеме нужно разрешить пропускать только PPPoE-пакеты и позволить устанавливать только PPPoE-соединение через модем.
Например, xDSL-модем установлен между Интернетом и локальной сетью и работает в режиме прозрачного моста (Bridge mode). При этом весь широковещательный трафик попадает из локальной сети в интернет-канал. Требуется настроить фильтрацию трафика в модеме для прохождения только PPPoE-пакетов, потому что интернет-подключение осуществляется через протокол PPPoE. Т.е. требуется изолировать модем от локальной сети, так чтобы через него проходил только PPPoE-трафик, остальной трафик блокировать.


Обзор протокола PPPoE представлен в статье KB-1945.


При использовании протокола PPPoE имеют место две явно выраженные стадии, которые можно назвать стадией установления соединения и стадией сеанса.
Для стадии установления соединения значение поля Type (Тип) равно 8863, а для стадии сеанса значение поля Type (Тип) равно 8864.



Таким образом, для фильтрации PPPoE-трафика нужно проверять значение поля Type (Тип) в Ethernet-кадрах (т.е. в модеме нужно использовать фильтры кадров). Если значение поля Type в Ethernet-кадрах равно 8863 и 8864, то в этом случае нужно разрешить прохождение пакетов, а все остальные пакеты блокировать.

Перейдем к настройке модема. Настройку фильтрации в xDSL-модемах нужно производить через SMT-меню, но в некоторых ADSL-модемах (P660RT2, P660HT2, P660HTW2) настройка возможна через веб-конфигуратор (пример настройки фильтрации пакетов на основе IP- и MAC-адресов через веб-интерфейс: KB-1863). Пример настройки фильтра Ethernet-кадров в xDSL-модемах представлен в статье KB-1337.


В данной статье приведена настройка фильтрации в xDSL-модеме через SMT-меню. О том, как подключиться к SMT-меню устройства и как им пользоваться, написано в статье KB-1847.


Для настройки правил фильтрации зайдите в меню 21 - Filter and Firewall Setup и затем в подменю 1 - Filter Setup.



В меню 21.1 - Filter Set Configuration вы можете увидеть предустановленные фильтры. В поле Enter Filter Set Number to Configure (Введите номер фильтра для настройки) введите номер нового создаваемого фильтра. В поле Edit Comment введите название фильтра.



Создайте два правила фильтрации для пропуска через модем только PPPoE-пакетов, как показано на рисунке ниже.




Поясним настройки. В статье KB-1337 вы найдете подробную информацию о структуре Ehernet-кадра.
Формат Ethernet-кадра состоит из следующих элементов:
MAC-адрес назначения - используется для указания устройства назначения, в которое направляется данный кадр. Это поле имеет длину 6 байт.
MAC-адрес источника - используется для указания устройства источника, из которого приходит данный кадр. Это поле имеет длину 6 байт.
Тип или Длина - поле длиной 2 байта. В кадре Ethernet используется для указания протокола верхнего уровня. Например, для стадии установления PPPoE-соединения значение поля Тип равно 8863, а для стадии сеанса PPPoE значение поля Тип равно 8864.


Для создания правила фильтрации Ethernet-кадров нужно настроить следующие поля:
В поле Filter Type (Тип фильтра) должно быть установлено ’Generic Filter Rule’ (Правило фильтрации кадров).
Active (Активно): Переключите ’Active’ на ’Yes’.
Offset (Смещение) (в байтах): Установите ’12’, так как значение поля Type (Тип) начинается с 13-го байта. Нужно пропустить первые байты MAC-адреса назначения и источника.
Length (Длина) (в байтах): Установите ’2’, так поле Type (Тип) включает 2 байта.
Mask (Маска) (в шестнадцатеричной форме): Задайте значение, по которому модем будет применять логическую операцию "И" к данным в кадре. В данном случае нужно установить ’ffff’ для маскировки значения поля Type (Тип) входящего кадра.
Value (Значение) (в шестнадцатеричной форме): Установите значения 8863 и 8864, которые модем будет использовать для сравнения с маскированным кадром.
Action Matched (Действие при соответствии): Введите действие, которое должно выполняться в случае соответствия маскированного кадра со значением ’Value’. В данном случае предлагается разрешить пересылку кадра (Forward).
Action Not Matched (Действие при несоответствии): Введите действие, которое должно выполняться в случае несоответствия маскированного кадра со значением ’Value’. В данном случае в первом правиле выберите ’Check Next Rule’ (Проверить следующее правило) для проверки следующего правила предлагается переслать кадр (Forward). Во втором правиле установите ’Drop’ (Удалить) для блокировки всех остальных пакетов.




Чтобы созданный в меню 21 фильтр PPPoE стал активным, его нужно присоединить к интерфейсу WAN (меню 11.5) и определить, к каким данным, входящим (Input) или исходящим (Output), его применять. В нашем примере фильтр кадров будет применен к входящим и исходящим данным WAN-интерфейса модема. 
Зайдите в меню 11.1 - Remote Node Profile и в поле Edit Filter Sets (Редактировать наборы фильтров) установите значение Yes (Да).



Вы окажетесь в меню 11.5 - Remote Node Filter. В настройках Input Filter Sets > device filters и Output Filter Sets > device filters установите номер созданного фильтра (в нашем примере фильтр PPPoE имеет номер 1).



Теперь, после настройки фильтрации PPPoE, только PPPoE-соединения смогут проходить через xDSL-модем, а все остальные пакеты будут блокироваться.

KB-1938

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0