!guide_close_btn!

流策略中使用高级ACL限制用户特定端口访问示例

[复制链接]
发表于 : 2015-9-10 16:20:50 最新回复:2018-12-17 15:13:25
24758 24
maimai
maimai  新锐

组网需求

所示,某企业通过Switch实现各部门之间的互连。研发部门划分在VLAN10中,规划为10.1.1.0/24网段。市场部门划分在VLAN20中,规划为10.1.2.0/24网段。现要求Switch能够限制两个网段之间互访,不允许研发部门访问市场部门归档在FTP服务器的机密文档。

使用高级ACL限制不同网段的用户互访示例

流策略中使用高级ACL限制用户特定端口访问示例-1280403-1

配置思路

采用如下的思路在Switch上进行配置:

1.         配置接口所属的VLAN以及接口的IP地址。

2.         配置高级ACLACL规则,拒绝研发部门访问市场部门FTP服务器的报文通过。

3.         配置基于ACL的流分类,对研发部门访问市场部门FTP服务器的报文进行过滤。

4.         配置流行为,拒绝匹配ACL的报文通过。

5.         配置流策略,绑定流分类和流行为。

6.         在接口上应用流策略,使ACL和流行为生效

操作步骤

                                步骤 1     配置接口所属的VLAN以及接口的IP地址

# 创建VLAN10VLAN20

<Switch> system-view

[Switch] vlan batch 10 20

# 配置Switch的接口GE0/0/1GE0/0/2trunk类型接口,并分别加入VLAN10VLAN20

[Switch] interface gigabitethernet 0/0/1

[Switch-GigabitEthernet0/0/1] port link-type trunk

[Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 10

[Switch-GigabitEthernet0/0/1] quit

[Switch] interface gigabitethernet 0/0/2

[Switch-GigabitEthernet0/0/2] port link-type trunk

[Switch-GigabitEthernet0/0/2] port trunk allow-pass vlan 20

[Switch-GigabitEthernet0/0/2] quit

# 创建VLANIF10VLANIF20,并配置各VLANIF接口的IP地址

[Switch] interface vlanif 10

[Switch-Vlanif10] ip address 10.1.1.1 24

[Switch-Vlanif10] quit

[Switch] interface vlanif 20

[Switch-Vlanif20] ip address 10.1.2.1 24

[Switch-Vlanif20] quit

 

                                步骤 2     配置ACL

# 配置高级ACLACL规则,拒绝研发部门访问市场部门FTP服务器的报文通过。

[Switch] acl 3001

[Switch-acl-adv-3001] rule 10 deny tcp destination 10.1.2.0 0.0.0.255 destination-port eq 20

[Switch-acl-adv-3001] rule 15 deny tcp destination 10.1.2.0 0.0.0.255 destination-port eq 21

[Switch-acl-adv-3001] rule 20 permit ip

[Switch-acl-adv-3001] quit

 

                                步骤 3     配置基于高级ACL的流分类

# 配置流分类tc1,对匹配ACL 3001的报文进行分类。

[Switch] traffic classifier tc1

[Switch-classifier-tc1] if-match acl 3001

[Switch-classifier-tc1] quit

 

                                步骤 4     配置流行为

# 配置流行为tb1,动作为拒绝报文通过。

[Switch] traffic behavior tb1

[Switch-behavior-tb1] deny

[Switch-behavior-tb1] quit

 

                                步骤 5     配置流策略

# 定义流策略,绑定流分类和流行为。

[Switch] traffic policy tp1

[Switch-trafficpolicy-tp1] classifier tc1 behavior tb1

[Switch-trafficpolicy-tp1] quit

 

                                步骤 6     在接口下应用流策略

[Switch] interface gigabitethernet 0/0/1

[Switch-GigabitEthernet1/0/1] traffic-policy tp1 inbound

[Switch-GigabitEthernet1/0/1] quit

 

                                步骤 7     验证配置结果

# 查看ACL规则的配置信息。

[Switch] display acl 3001

Advanced ACL 3001, 3 rules

Acl's step is 5

 rule 10 permit tcp destination 10.1.2.0 0.0.0.255 destination-port eq ftp-data (match-counter 0)

 rule 15 permit tcp destination 10.1.2.0 0.0.0.255 destination-port eq ftp (match-counter 0)

 rule 20 deny ip (match-counter 0)

# 查看流分类的配置信息。

[Switch] display traffic classifier user-defined

  User Defined Classifier Information:

   Classifier: tc1

    Operator: AND

    Rule(s) : if-match acl 3001

 

Total classifier number is 1

# 查看流策略的配置信息。

[Switch] display traffic policy user-defined tp1

  User Defined Traffic Policy Information:

  Policy: tp1

   Classifier: tc1

    Operator: AND

     Behavior: tb1

      Deny

----结束

 

附录:补充端口号相关资料

TCP/UDP端口号

源端口号格式:source-port { eq port | gt port | lt port | range port-start port-end }

目的端口号格式:destination-port { eq port | gt port | lt port | range port-start port-end }

在高级ACL中,当协议类型指定为TCPUDP时,设备支持基于TCP/UDP的源/目的端口号过滤报文。

其中,TCP/UDP端口号的比较符含义如下:

l   eq port:指定等于源/目的端口。

l   gt port:指定大于源/目的端口。

l   lt port:指定小于源/目的端口。

l   range port-start port-end:指定源/目的端口的范围。port-start是端口范围的起始,port-end是端口范围的结束。

TCP/UDP端口号可以使用数字表示,也可以用字符串(助记符)表示。例如,rule deny tcp destination-port eq 80,可以用rule deny tcp destination-port eq www替代。常见TCP端口号及对应的字符串如1-5所示,常见UDP端口号及对应的字符串如1-6所示。

表1-1 常见TCP端口号及对应的字符串

端口号

字符串

协议

说明

7

echo

Echo

Echo服务

9

discard

Discard

用于连接测试的空服务

13

daytime

Daytime

给请求主机发送日期和时间

19

CHARgen

Character generator

字符生成服务;发送无止境的字符流

20

ftp-data

FTP data connections

FTP数据端口

21

ftp

File Transfer Protocol(FTP)

文件传输协议(FTP)端口

23

telnet

Telnet

Telnet服务

25

smtp

Simple Mail Transport Protocol (SMTP)

简单邮件传输协议

37

time

Time

时间协议

43

whois

NicnameWHOIS

目录服务

49

tacacs

TAC Access Control System (TACACS)

用于基于TCP/IP验证和访问的访问控制系统(TACACS登录主机协议)

53

domain

Domain Name Service (DNS)

域名服务

70

gopher

Gopher

信息检索协议(互联网文档搜寻和检索)

79

finger

Finger

用于用户联系信息的Finger服务,查询远程主机在线用户等信息

80

www

World Wide Web (HTTP)

用于万维网(WWW)服务的超文本传输协议(HTTP),用于网页浏览

101

hostname

NIC hostname server

NIC机器上的主机名服务

109

pop2

Post Office Protocol v2

邮件协议-版本2

110

pop3

Post Office Protocol v3

邮件协议-版本3

111

sunrpc

Sun Remote Procedure Call (RPC)

SUN公司的远程过程调用(RPC)协议,用于远程命令执行,被网络文件系统(NFS)使用

119

nntp

Network News Transport Protocol (NNTP)

网络新闻传输协议,承载USENET通信

179

bgp

Border Gateway Protocol (BGP)

边界网关协议

194

irc

Internet Relay Chat (IRC)

互联网中继聊天(多线交谈协议)

512

exec

Exec (rsh)

用于对远程执行的进程进行验证

513

login

Login (rlogin)

远程登录

514

cmd

Remote commands

远程命令,不必登录的远程shellrshell)和远程复制(rcp

515

lpd

Printer service

打印机(lpr)假脱机

517

talk

Talk

远程对话服务和客户

540

uucp

Unix-to-Unix Copy Program

UnixUnix复制服务

543

klogin

Kerberos login

Kerberos版本5v5)远程登录

544

kshell

Kerberos shell

Kerberos版本5v5)远程shell

 

表1-2 常见UDP端口号及对应的字符串

端口号

字符串

协议

说明

7

echo

Echo

Echo服务

9

discard

Discard

用于连接测试的空服务

37

time

Time

时间协议

42

nameserver

Host Name Server

主机名服务

53

dns

Domain Name Service (DNS)

域名服务

65

tacacs-ds

TACACS-Database Service

TACACS数据库服务

67

bootps

Bootstrap Protocol Server

引导程序协议(BOOTP)服务端,DHCP服务使用

68

bootpc

Bootstrap Protocol Client

引导程序协议(BOOTP)客户端,DHCP客户使用

69

tftp

Trivial File Transfer Protocol (TFTP)

小文件传输协议

90

dnsix

DNSIX Security Attribute Token Map

DNSIX安全属性标记图

111

sunrpc

SUN Remote Procedure Call (SUN RPC)

SUN公司的远程过程调用(RPC)协议,用于远程命令执行,被网络文件系统(NFS)使用

123

ntp

Network Time Protocol (NTP)

网络时间协议,蠕虫病毒会利用

137

netbios-ns

NETBIOS Name Service

NETBIOS名称服务

138

netbios-dgm

NETBIOS Datagram Service

NETBIOS数据报服务

139

netbios-ssn

NETBIOS Session Service

NETBIOS会话服务

161

snmp

SNMP

简单网络管理协议

162

snmptrap

SNMPTRAP

SNMP陷阱

177

xdmcp

X Display Manager Control Protocol (XDMCP)

X显示管理器控制协议

434

mobilip-ag

MobileIP-Agent

移动IP代理

435

mobilip-mn

MobileIP-MN

移动IP管理

512

biff

Mail notify

异步邮件,可用来通知用户有邮件到达

513

who

Who

登录的用户列表

514

syslog

Syslog

UNIX系统日志服务

517

talk

Talk

远程对话服务器和客户端

520

rip

Routing Information Protocol

RIP路由协议

 

  • x
  • 常规:

点评 回复

跳转到指定楼层
Monica
Monica  导师 发表于 2015-9-10 16:29:55 已赞(0) 赞(0)

刚好看到一个关于SNMP 目的端口号的问题,找到答案了

  • x
  • 常规:

点评 回复

s00176572
s00176572   发表于 2015-9-11 02:28:04 已赞(0) 赞(0)

如果只是图中的场景,用端口隔离,VLAN MUX这种也可以搞定
  • x
  • 常规:

点评 回复

蛋蛋蛋
蛋蛋蛋 发表于 2018-12-17 15:14
他配置完步骤1之后,已经实现他的目的了。所以,如果只是图中的需求,那么从步骤2开始就是多余的  
若望
若望   发表于 2015-9-15 00:13:41 已赞(0) 赞(0)

在配置acl时

 

[Switch] acl 3001

[Switch-acl-adv-3001] rule 10 deny tcp destination 10.1.2.0 0.0.0.255 destination-port eq 20

[Switch-acl-adv-3001] rule 15 deny tcp destination 10.1.2.0 0.0.0.255 destination-port eq 21

[Switch-acl-adv-3001] rule 20 permit ip

[Switch-acl-adv-3001] quit

 

这个配置里rule的deny 是否可以改成permit? 因为已经在流行为里确定为deny了。

  • x
  • 常规:

点评 回复

maimai
maimai  新锐 发表于 2015-9-15 09:20:47 已赞(0) 赞(0)

回复 4 楼

ACL规则中可以修改成permit。

ACL里面的permit/deny与traffic policy中的behavior的permit/deny组合有如下四种情况:

ACL

Traffic policy中的behavior

匹配报文的最终处理结果

permit

permit

permit

permit

deny

deny

deny

permit

deny

deny

deny

deny

 

如果ACL规则中配置成permit,则报文最终被deny,流量不通。

  • x
  • 常规:

点评 回复

若望
若望   发表于 2015-9-15 16:05:11 已赞(0) 赞(0)

回复 5 楼

那根据你说的那个acl与behavior里的匹配规则,acl里是可以修改为permit的,因为behavior里是定义的deny。所有最后匹配后还是deny

  • x
  • 常规:

点评 回复

maimai
maimai  新锐 发表于 2015-9-15 17:27:45 已赞(0) 赞(0)

回复 6 楼

哦,是的。 
  • x
  • 常规:

点评 回复

六花酱
六花酱   发表于 2017-5-22 11:58:12 已赞(0) 赞(0)

你这么做会导致所有的流量不通的,因为你的acl里最后的那个允许所有,然后所有的流量在流行为里就被deny了
  • x
  • 常规:

点评 回复

蛋蛋蛋
蛋蛋蛋 发表于 2018-12-17 15:51
评论说得对  
allenge
allenge   发表于 2017-5-23 16:57:45 已赞(0) 赞(0)

@六花酱
我也觉得最后流量都会被拒绝,请专家来说明一下呢
  • x
  • 常规:

点评 回复

蛋蛋蛋
蛋蛋蛋 发表于 2018-12-17 15:52
我就是我就是  
allenge
allenge   发表于 2017-5-23 17:02:06 已赞(0) 赞(0)

如果[Switch-acl-adv-3001] rule 20 permit ip这条规则不加,策略应该是能实现的
  • x
  • 常规:

点评 回复

蛋蛋蛋
蛋蛋蛋 发表于 2018-12-17 15:53
评论说得对  
12
返回列表
发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!

登录参与交流分享

登录

华为企业互动社区
华为企业互动社区