{toc}
h1. Для чего используются ACL
ACL созданы для выгрузки на оборудования - обычно их используют чтобы дать абонентам доступ на некоторые сайты при отрицательном балансе или блокировке. Например, сайт онлайн-банка или платежной системы, чтобы абонент мог оплатить задолженность.
h1. Как формировать списки
# Для создания новой группы перейдите в раздел "Справочники" - "ACL-группы" и нажмите "Добавить".
\\
\\ !Выделение_006.png|border=0,width=800!\\
\\
# Заполните следующие поля:
#* *Name*: имя группы ACL в настройках биллинга, можно написать краткий комментарий (например, "доступно заблокированным).
#* *ACL Name*: название списка на оборудовании
{info}
- Для оборудования *Cisco* и *Redback* списки должны называться *ACL_NEGBAL_TRUSTED* (блок по балансу) и *ACL_BLOCKED_TRUSTED* (блок администратором). Если у Вас в сети используется BRAS обоих вендоров, можно использовать единые списки.
- Для оборудования *Mikrotik* списки должны называться *crb_trust_negbal_list* (блок по балансу) и *crb_trust_blocked_list* (блок администратором). То есть, подразумевается, что списки для Mikrotik и Cisco/Redback будут разными. Ниже описано, как это обойти и использовать для Mikrotik любые списки.
{info}
\\
\\ !Выделение_007.png|border=0,width=700!\\
\\
# Кнопка "*Сохранить*" сохранит новый список.
# После этого нужно перейти в соседний раздел слева "ACL списки разрешенных сайтов", в нем появится вкладка группы, созданной в предыдущем пункте. Чтобы добавить адрес, нажмите кнопку "Добавить":
\\
#* *Группа*: к какой группе ACL относится сайт (например, разрешен при отрицательном балансе)
#* *Адрес*: адрес сайта, например carbonsoft.ru
#* *Комментарий*: текстовый комментарий к записи, например "Сайт Карбон-Софт"
#* *Включен*: флаг, активирующий правило.
\\
\\ !Выделение_008.png|border=0,width=700!\\
h1. Как выгрузить на оборудование
h2. Cisco ISG, RedBack SE, Microtik RouterOS
Затем в разделе "Оборудование" нужно выбрать NAS, на который будет загружен список ACL, перейти на вкладку "Управление" и выбрать пункт rtsh acl upload под заголовком "Дополнительные команды":
# Зайдите в настройки NAS на вкладку "Управление"
\\
\\ !Выделение_009.png|border=0,width=500!\\
\\
# Нажмите кнопку *rtsh acl upload* в разделе "Дополнительные параметры"
\\
\\ !Выделение_010.png|border=0,width=500!
h2. Mikrotik Router OS, дополнительные списки
В схеме Mikrotik Simple Вы можете указать дополнительные ACL в файле [firewall.ini|https://docs.carbonsoft.ru/pages/viewpage.action?pageId=52789376#iniфайлыmikrotik-firewall.ini], подготовленные, например, для маршрутизаторов Cisco или Redback.
Для этого заполните следующие параметры:
* *negbal_acl_groups* \- ID списков, доступных при отрицательном балансе.
* *blocked_acl_groups* \- ID списков, доступных заблокированным администратором
Можно указать несколько списков через прямую черту "\|".
Например:
- ACL
\\
\\ !Mikrotik, выгрузка дополнительных ACL.png|border=0,width=600!\\
\\
- firewall.ini
{code}
negbal_acl_groups='1|2|3|5'
blocked_acl_groups='2|3'
{code}
В этом примере, при блокировке по балансу будут дополнительно доступны все списки со скриншота, а при блокировке администратором - списки "Социальный интернет" и стандартный список "trusted_blocked", подготовленный для Cisco.
h1. Для чего используются ACL
ACL созданы для выгрузки на оборудования - обычно их используют чтобы дать абонентам доступ на некоторые сайты при отрицательном балансе или блокировке. Например, сайт онлайн-банка или платежной системы, чтобы абонент мог оплатить задолженность.
h1. Как формировать списки
# Для создания новой группы перейдите в раздел "Справочники" - "ACL-группы" и нажмите "Добавить".
\\
\\ !Выделение_006.png|border=0,width=800!\\
\\
# Заполните следующие поля:
#* *Name*: имя группы ACL в настройках биллинга, можно написать краткий комментарий (например, "доступно заблокированным).
#* *ACL Name*: название списка на оборудовании
{info}
- Для оборудования *Cisco* и *Redback* списки должны называться *ACL_NEGBAL_TRUSTED* (блок по балансу) и *ACL_BLOCKED_TRUSTED* (блок администратором). Если у Вас в сети используется BRAS обоих вендоров, можно использовать единые списки.
- Для оборудования *Mikrotik* списки должны называться *crb_trust_negbal_list* (блок по балансу) и *crb_trust_blocked_list* (блок администратором). То есть, подразумевается, что списки для Mikrotik и Cisco/Redback будут разными. Ниже описано, как это обойти и использовать для Mikrotik любые списки.
{info}
\\
\\ !Выделение_007.png|border=0,width=700!\\
\\
# Кнопка "*Сохранить*" сохранит новый список.
# После этого нужно перейти в соседний раздел слева "ACL списки разрешенных сайтов", в нем появится вкладка группы, созданной в предыдущем пункте. Чтобы добавить адрес, нажмите кнопку "Добавить":
\\
#* *Группа*: к какой группе ACL относится сайт (например, разрешен при отрицательном балансе)
#* *Адрес*: адрес сайта, например carbonsoft.ru
#* *Комментарий*: текстовый комментарий к записи, например "Сайт Карбон-Софт"
#* *Включен*: флаг, активирующий правило.
\\
\\ !Выделение_008.png|border=0,width=700!\\
h1. Как выгрузить на оборудование
h2. Cisco ISG, RedBack SE, Microtik RouterOS
Затем в разделе "Оборудование" нужно выбрать NAS, на который будет загружен список ACL, перейти на вкладку "Управление" и выбрать пункт rtsh acl upload под заголовком "Дополнительные команды":
# Зайдите в настройки NAS на вкладку "Управление"
\\
\\ !Выделение_009.png|border=0,width=500!\\
\\
# Нажмите кнопку *rtsh acl upload* в разделе "Дополнительные параметры"
\\
\\ !Выделение_010.png|border=0,width=500!
h2. Mikrotik Router OS, дополнительные списки
В схеме Mikrotik Simple Вы можете указать дополнительные ACL в файле [firewall.ini|https://docs.carbonsoft.ru/pages/viewpage.action?pageId=52789376#iniфайлыmikrotik-firewall.ini], подготовленные, например, для маршрутизаторов Cisco или Redback.
Для этого заполните следующие параметры:
* *negbal_acl_groups* \- ID списков, доступных при отрицательном балансе.
* *blocked_acl_groups* \- ID списков, доступных заблокированным администратором
Можно указать несколько списков через прямую черту "\|".
Например:
- ACL
\\
\\ !Mikrotik, выгрузка дополнительных ACL.png|border=0,width=600!\\
\\
- firewall.ini
{code}
negbal_acl_groups='1|2|3|5'
blocked_acl_groups='2|3'
{code}
В этом примере, при блокировке по балансу будут дополнительно доступны все списки со скриншота, а при блокировке администратором - списки "Социальный интернет" и стандартный список "trusted_blocked", подготовленный для Cisco.