show account {XXX [full][bdata] |list}
Выдает информацию о аккаунте (аккаунтах):
fedora:~#netamsctl show account client1 full
Name a1 (01BFEF) BLOCKED SYNC bal: 100.00 cred_lim: — 5.00 plan: aaa
Plan aaa 000001 1107234000 Nextplan aaa 000001 1107234000
Changed 1108397456 Blocked 1108397423 Created 1108397423
Email — Password — Units: client1 08944A
Сервис acl–server занимается контролем доступа клиентов через удаленный маршрутизатор. В общем случае для источников данных типов netflow, ulog и libpcap управление трафиком невозможно, т.к. эти источники являются «односторонними», предоставляя данные по трафику безо всякой возможности воздействовать на сам процесс доставки этого трафика. С помощью данного сервиса можно организовать передачу команд вида «открыть–закрыть» на расположенный где–то в сети роутер. Это может быть маршрутизатор Cisco, PC–роутер с генератором потока netflow, или даже локальная машина (роутер/бридж) с настроенным data–source libpcap.
Сервис acl–server появился в NeTAMS начиная с версии 3.3.0 (build 2710). В настоящий момент поддерживается только управление удаленным роутером Cisco по протоколу RSH с набором некоторых стандартных команд. Они передаются на роутер при:
• (пере)запуске NeTAMS
• перезагрузке удаленного роутера
• при изменении системной политики
Эти правила действуют на юниты типа USER и HOST, у которых установлены IP–адреса.
Для начала вам необходимо настроить маршрутизатор Cisco:
no ip rcmd domain–lookup
ip rcmd rsh–enable
ip rcmd remote–host netams 192.168.0.10 root enable
!
ip flow–export source FastEthernet0/1
ip flow–export version 5
ip flow–export destination 192.168.0.10 20001
!
access–list 100 dynamic NETAMS deny ip any any
access–list 100 permit ip any any
!
interface FastEthernet0/1
ip address 192.168.0.1 255.255.255.0
ip access–group 100 in
!
В данном случае внутренний IP–адрес маршрутизатора равен 192.168.0.1, к интерфейсу fa0/1 подключена внутреняя сеть, а в этой сети на адресе 192.168.0.10 висит UNIX–компьюер с запущенным NeTAMS. Поток статистики netflow отправляется роутером туда же.
Хотя и считается, что протокол RSH небезопасный, на самом деле не все так плохо. Если вы явно указали разрешенный IP–адрес, с которого можно принимать команды, и на этом компьютере нет «лишних» клиентов, то все в порядке.
acl–server работает путем установки динамических списком доступа (access–lists) на роутере Cisco, это значит что перезагрузке роутера список потеряется (но будет восстановлен вновь). В данном примере список доступа имеет номер 100, и его динамическая часть имеет имя NETAMS. Обратите внимание на то, что все попадающие в этот список записи будут иметь политику DENY, в то время как сам список будет иметь политику ALLOW. Это значит, что при пустом списке доступа будет разрешен весь трафик, а добавление каких–то новых записей (IP–адресов) будет означать их блокировку. Далее, этот список доступа ставится на «вход» внутреннего интерфейса.