Arista Control-Plane Firewall

A basic ACL looks something like this.
ipv6 access-list CONTROL_PLANE_ACL_V6
   counters per-entry
   1 permit icmpv6 any any
   2 permit tcp 2600::/32 any eq ssh telnet www snmp https netconf-ssh gnmi
   3 permit udp 2600::/32 any eq bootps bootpc ntp snmp ptp-event ptp-general
   101 permit tcp any any eq bgp
   1000 permit ipv6 any any tracked
   1010 permit udp any any eq bfd hop-limit eq 255
   1020 permit udp any any eq bfd-echo hop-limit eq 254
   1030 permit udp any any eq multihop-bfd micro-bfd sbfd
   1040 permit udp any eq sbfd any eq sbfd-initiator
   1050 permit ospf any any
   1060 permit 51 any any
   1070 permit 50 any any
   1080 permit tcp any any eq msdp ldp
   1090 permit udp any any eq rip ldp
   1100 permit tcp any any eq mlag hop-limit eq 255
   1120 permit udp any any eq mlag hop-limit eq 255
   1130 permit tcp any any range 5900 5910
   1140 permit tcp any any range 50000 50100
   1150 permit udp any any range 51000 51100
   1160 permit udp any any eq dhcpv6-client dhcpv6-server
   1170 permit tcp any any eq nat hop-limit eq 255
   1180 permit udp any any eq nat hop-limit eq 255
   1190 permit rsvp any any
   1200 permit pim any any
   1210 permit tcp any any eq 9340
   1220 permit tcp any any eq 9559
   1230 permit udp any any eq 8503
   1240 permit udp any any eq lsp-ping
   1250 permit udp any eq lsp-ping any

ip access-list CONTROL_PLANE_ACL_V4
   counters per-entry
   1 permit icmp any any
   2 permit tcp 10.0.0.0/8 any eq ssh telnet www snmp https netconf-ssh gnmi
   3 permit tcp 172.16.0.0/12 any eq ssh telnet www snmp https netconf-ssh gnmi
   4 permit tcp 192.168.0.0/16 any eq ssh telnet www snmp https netconf-ssh gnmi
   5 permit udp 10.0.0.0/8 any eq bootps bootpc ntp snmp
   6 permit udp 172.16.0.0/12 any eq bootps bootpc ntp snmp
   7 permit udp 192.168.0.0/16 any eq bootps bootpc ntp snmp
   101 permit tcp any any eq bgp
   1000 permit ip any any tracked
   1010 permit udp any any eq bfd ttl eq 255
   1020 permit udp any any eq bfd-echo ttl eq 254
   1030 permit udp any any eq multihop-bfd
   1040 permit udp any any eq micro-bfd
   1050 permit udp any any eq sbfd
   1060 permit udp any eq sbfd any eq sbfd-initiator
   1070 permit ospf any any
   1080 permit tcp any any eq msdp ldp
   1090 permit udp any any eq rip ldp
   1100 permit tcp any any eq mlag ttl eq 255
   1110 permit tcp any any eq 3333
   1120 permit tcp any any eq nat ttl eq 255
   1130 permit rsvp any any
   1140 permit tcp any any eq 6040
   1150 permit tcp any any eq 5541 ttl eq 255
   1160 permit tcp any any eq 5542 ttl eq 255
   1170 permit udp any any range 51000 51100
   1180 permit tcp any any eq 3333
   1190 permit tcp any any eq nat ttl eq 255
   1200 permit rsvp any any
   1210 permit tcp any any eq 6040
   1220 permit tcp any any eq 5541 ttl eq 255
   1230 permit tcp any any eq 5542 ttl eq 255

system control-plane
   ip access-group CONTROL_PLANE_ACL_V4 in
   ipv6 access-group CONTROL_PLANE_ACL_V6 in
Share this:

Related

Leave a comment Cancel reply
