华为交换机访问控制策略

[复制链接]
发表于 : 2017-9-20 23:38:50 最新回复:2017-09-21 09:09:44
5399 2
Cullen
Cullen  

实验环境使用华为eNSP(1.2.00.500),交换机版本V2R1,在LSW1做访问策略,拓扑如下:

PC1:10.0.80.254;   PC2:10.0.89.254;   PC3:10.0.87.254;   PC4:10.0.88.254;

华为交换机访问控制策略-2502129-1

Traffic-filter

acl 3000
 rule 87 deny ip source 10.0.80.0 0.0.0.255 destination 10.0.87.0 0.0.0.255
 rule 88 permit ip source 10.0.80.0 0.0.0.255 destination 10.0.88.0 0.0.0.255

在接口G0/0/1下使用traffic-filter调用acl3000,结果为

  PC1-->PC3 不通;  PC1-->PC4 通;  PC1-->PC2 通;

Traffic-policy

(一)

​acl 3000
 rule 87 permit ip source 10.0.80.0 0.0.0.255 destination 10.0.87.0 0.0.0.255
 rule 88 permit ip source 10.0.80.0 0.0.0.255 destination 10.0.88.0 0.0.0.255

traffic classifier c1 operator and
 if-match acl 3000

traffic behavior b1
 deny
traffic policy p1
 classifier c1 behavior b1

在接口G0/0/1下使用traffic-policy调用p1于inbound方向,结果为

  PC1-->PC3 不通;  PC1-->PC4 不通;  PC1-->PC2 通;在vlan下使用traffic-policy调用p1于inbound方向,结果相同。

(二)

acl 3000
 rule 87 deny ip source 10.0.80.0 0.0.0.255 destination 10.0.87.0 0.0.0.255
 rule 88 permit ip source 10.0.80.0 0.0.0.255 destination 10.0.88.0 0.0.0.255

traffic classifier c1 operator and
 if-match acl 3000

traffic behavior b1
 deny
traffic policy p1
 classifier c1 behavior b1

在接口G0/0/1下使用traffic-policy调用p1于inbound方向,结果为

  PC1-->PC3 不通;  PC1-->PC4 不通;  PC1-->PC2 通;在vlan下使用traffic-policy调用p1于inbound方向,结果相同。

(三)

acl 3000
 rule 87 deny ip source 10.0.80.0 0.0.0.255 destination 10.0.87.0 0.0.0.255
 rule 88 permit ip source 10.0.80.0 0.0.0.255 destination 10.0.88.0 0.0.0.255

traffic classifier c1 operator and
 if-match acl 3000

traffic behavior b1
 permit
traffic policy p1
 classifier c1 behavior b1

在接口G0/0/1下使用traffic-policy调用p1于inbound方向,结果为

  PC1-->PC3 不通;  PC1-->PC4 通;  PC1-->PC2 通;在vlan下使用traffic-policy调用p1于inbound方向,结果相同。

(四)

acl 3000
 rule 87 permit ip source 10.0.80.0 0.0.0.255 destination 10.0.87.0 0.0.0.255
 rule 88 permit ip source 10.0.80.0 0.0.0.255 destination 10.0.88.0 0.0.0.255

traffic classifier c1 operator and
 if-match acl 3000

traffic behavior b1
 permit
traffic policy p1
 classifier c1 behavior b1

在接口G0/0/1下使用traffic-policy调用p1于inbound方向,结果为

  PC1-->PC3 通;  PC1-->PC4 通;  PC1-->PC2 通;在vlan下使用traffic-policy调用p1于inbound方向,结果相同。


结论:

  1. 华为设备的ACL仅仅是用于匹配,最好是明确允许或拒绝流量;

  2. 使用traffic-policy时,rule匹配后,才匹配behavior,否则,直接放行流量;

  3. 使用traffic-policy时,rule匹配后,才匹配behavior,rule或behavior为deny则deny;

  4. ​访问控制策略尽量用在in方向

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
  • x
  • 常规:

点评 回复

跳转到指定楼层
网络管理员木头
网络管理员木头  导师 发表于 2017-9-21 08:37:51 已赞(0) 赞(0)

华为交换机访问控制策略-2502163-1
  • x
  • 常规:

点评 回复

TERRAL
TERRAL  新锐 发表于 2017-9-21 09:09:44 已赞(0) 赞(0)

class 调用ACL 如果ACL是deny 后面behavior不论是 permit或者deny 只要符合ACL都备拒绝,如果acl是permit就看后面behavior是permit还是deny了 要禁止某个主机和对方的完全通信最好是两个方向上应用类似镜像配置的traffic-policy 不然你会发现 从你这个源向目标ping包什么的都不通,但依然能收到对方发过来的数据
  • x
  • 常规:

点评 回复

发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录