|
|
最近来了一台华为5700 SI版本交换机,也上了一台防火墙不过是百兆的,主要用于监控与视频会议,为了带宽,防火墙就基本没啥作用了,直接拆了不用,但还是要保证安全,只能在5700上做ACL安全策略,所以研究了一下ACL的配置。
一、说明:
1、华为交换机的ACL规则没变,但下发需要通过流策略traffic policy下发;
2、流策略又包括相应的流分类traffic>
3、流分类traffic> 4、ACL规则里只需配置匹配的流,使用permit标识,而deny基本没啥用;
5、如果有多个ACL number,在流策略traffic policy里需要按顺序绑定(根据业务是先允午后禁止或先禁止后允许),800说可以配优先级,但我么有发现命令。
6、在接口的inbound 方向下发。
二、版本信息
Huawei Versatile Routing Platform Software
VRP (R) software, Version 5.110 (S5700 V200R001C00SPC300)
Copyright (C) 2000-2012 HUAWEI TECH CO., LTD
Quidway S5700-24TP-SI-AC Routing Switch uptime is 17 weeks, 1 day, 7 hours,
三、配置
1、需求
1)只允许特定的网段(192.168.1.0/24)到特定的网段192.168.2.0/24)的访问
2)禁止特定的网段(192.168.1.0/24) 到any的访问。
2、配置:
1)定义允许的ACL规则
acl number 3001
rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
2)定义禁止的ACL规则
acl number 3002
rule 5 permit ip source 192.168.1.0 0.0.0.255 也使用permit,在这里意思其实是匹配的意思
3)定义流分类
traffic> if-match acl 3001
traffic> if-match acl 3002
4)定义流动作,这里才是真正决定是允许还是禁止
traffic behavior xl001
permit 允许动作
traffic behavior xl002
deny 禁止动作
5)定义流策略 (这里最好注意顺序,避免一些问题发生)
traffic policy xlpolicy
>
> 6)靠近源地址端接口入方向下发
interface GigabitEthernet0/0/23
traffic-policy xlpolicy inbound
总结,其实也很好理解,ACL规则下的permit用于匹配流,流动作里的permit或deny才是真正的对包文的允许与禁止动作。
也可参考华为手里的一句话:
基于硬件的应用:ACL 被下发到硬件,例如配置QoS 功能时引用ACL,对报文进
行流分类。需要注意的是,当ACL 被QoS 功能引用时,如果ACL 规则中定义的
动作为deny,则匹配此ACL 的报文就被丢弃。如果ACL 规则中定义的动作为
permit,则S5700 对匹配此ACL 的报文采取的动作由QoS 中流行为定义的动作决
定。
(貌似华为官方写的不是很好理解,网络还需要动手去发现)。 |
|
|
QQ群⑧:
窥视卡
雷达卡
发表于 2018-7-23 11:24:04
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡