设为首页 收藏本站

运维网

查看: 211|回复: 0

[经验分享] 华为交换机访问控制策略

[复制链接]

累计签到:1 天
连续签到:1 天
发表于 2017-9-22 09:34:54 | 显示全部楼层 |阅读模式
实验环境使用华为eNSP(1.2.00.500),交换机版本V2R1,在LSW1做访问策略,拓扑如下:
PC1:10.0.80.254;   PC2:10.0.89.254;   PC3:10.0.87.254;   PC4:10.0.88.254;
QQ截图20170922093443.png
Traffic-filter

acl 3000
rule 87 deny ip source 10.0.80.0 0.0.0.255 destination 10.0.87.0 0.0.0.255
rule 88 permit ip source 10.0.80.0 0.0.0.255 destination 10.0.88.0 0.0.0.255

在接口G0/0/1下使用traffic-filter调用acl3000,结果为
  PC1-->PC3 不通;  PC1-->PC4 通;  PC1-->PC2 通;
Traffic-policy
(一)
acl 3000
rule 87 permit ip source 10.0.80.0 0.0.0.255 destination 10.0.87.0 0.0.0.255
rule 88 permit ip source 10.0.80.0 0.0.0.255 destination 10.0.88.0 0.0.0.255

traffic classifier c1 operator and
if-match acl 3000
traffic behavior b1
deny
traffic policy p1
classifier c1 behavior b1

在接口G0/0/1下使用traffic-policy调用p1于inbound方向,结果为
  PC1-->PC3 不通;  PC1-->PC4 不通;  PC1-->PC2 通;在vlan下使用traffic-policy调用p1于inbound方向,结果相同。
(二)

acl 3000
rule 87 deny ip source 10.0.80.0 0.0.0.255 destination 10.0.87.0 0.0.0.255
rule 88 permit ip source 10.0.80.0 0.0.0.255 destination 10.0.88.0 0.0.0.255

traffic classifier c1 operator and
if-match acl 3000
traffic behavior b1
deny
traffic policy p1
classifier c1 behavior b1

在接口G0/0/1下使用traffic-policy调用p1于inbound方向,结果为
  PC1-->PC3 不通;  PC1-->PC4 不通;  PC1-->PC2 通;在vlan下使用traffic-policy调用p1于inbound方向,结果相同。
(三)

acl 3000
rule 87 deny ip source 10.0.80.0 0.0.0.255 destination 10.0.87.0 0.0.0.255
rule 88 permit ip source 10.0.80.0 0.0.0.255 destination 10.0.88.0 0.0.0.255

traffic classifier c1 operator and
if-match acl 3000
traffic behavior b1
permit
traffic policy p1
classifier c1 behavior b1

在接口G0/0/1下使用traffic-policy调用p1于inbound方向,结果为
  PC1-->PC3 不通;  PC1-->PC4 通;  PC1-->PC2 通;在vlan下使用traffic-policy调用p1于inbound方向,结果相同。
(四)

acl 3000
rule 87 permit ip source 10.0.80.0 0.0.0.255 destination 10.0.87.0 0.0.0.255
rule 88 permit ip source 10.0.80.0 0.0.0.255 destination 10.0.88.0 0.0.0.255

traffic classifier c1 operator and
if-match acl 3000
traffic behavior b1
permit
traffic policy p1
classifier c1 behavior b1

在接口G0/0/1下使用traffic-policy调用p1于inbound方向,结果为
  PC1-->PC3 通;  PC1-->PC4 通;  PC1-->PC2 通;在vlan下使用traffic-policy调用p1于inbound方向,结果相同。

结论:
  • 华为设备的ACL仅仅是用于匹配,最好是明确允许或拒绝流量;

  • 使用traffic-policy时,rule匹配后,才匹配behavior,否则,直接放行流量;
  • 使用traffic-policy时,rule匹配后,才匹配behavior,rule或behavior为deny则deny;
  • 访问控制策略尽量用在in方向



运维网声明 1、欢迎大家加入本站运维交流群:群①:263444886群②:197202523群③:485755530群④:201730672群⑤:202807635运维网交流群⑥:281548029
2、本站所有主题由该帖子作者发表,该帖子作者与运维网享有帖子相关版权
3、其他单位或个人使用、转载或引用本文时必须注明原文的出处
4、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
5、运维网 - 服务您的运维操作管理专家!
6、联系人Email:[email protected] 网址:www.iyunv.com

点击关注更多内容
您需要登录后才可以回帖 登录 | 立即注册  

本版积分规则  允许回帖邮件提醒楼主

关注运维网官方微信X

关注运维网官方微信

扫描二维码关注运维网官方微信,最新一手资源尽在官方微信!快快关注我们吧...

扫描微信二维码查看详情

客服 E-mail:[email protected]

本站由安畅网络和青云提供云计算服务

运维网--中国最专业的运维工程师交流社区

京ICP备14039699号-1 Copyright © 2012-2017

使用手机软件扫描微信二维码

关注我们可获取更多热点资讯

Good good study day day up !


提醒:禁止发布任何违反国家法律、法规的言论与图片等内容;本站内容均来自个人观点与网络等信息,非本站认同之观点.


合作伙伴: 青云cloud 安畅网络

快速回复 返回顶部 返回列表