USB迷 | 专注于互联网分享

    最新消息: USBMI致力于为网友们分享Windows、安卓、IOS等主流手机系统相关的资讯以及评测、同时提供相关教程、应用、软件下载等服务。
    你的位置: 首页 > IT圈 > 华为数通学习(九)-华为路由器交换ACL的应用与经验总结

    华为数通学习(九)-华为路由器交换ACL的应用与经验总结

    IT圈 admin 53浏览 0评论

    2024年1月31日发(作者:受芳林)

    博客地址 /1914756383/

    华为路由交换由浅入深系列(九)-华为路由器交换ACL的应用与经验总结1ACL概述随着网络规模的扩大和流量的增加,对网络安全的控制和对带宽的分配成为网络管理的重要内容。通过对报文进行过滤,可以有效防止非法用户对网络的访问,同时也可以控制流量,节约网络资源。ACL(AccessControlList,访问控制列表)即是通过配置对报文的匹配规则和处理操作来实现包过滤的功能。更多资料访问尽在网络之路空间;【把学习当做生活,每天都在进步】/1914756383//KUCqX2ACL通过一系列的匹配条件对报文进行分类,这些条件可以是报文的源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口号等。2案例背景[交换机]网络环境拓扑如下(客户端接入交换机约有几十个,所有设备均采用静态IP)QQ邮件订阅 /KUCqX2

    博客地址 /1914756383/

    服务器区所有服务器网关均在核心交换机上,共有9个Vlan,9个网段分别如下;Vlan10-Vlan11网段分别为10.0.10.0/24-10.0.11.0/24Vlan14-Vlan19网段分别为10.0.14.0/24-10.0.19.0/24交换机管理Vlan为Vlan1:10.0.13.0/24,核心交换机的管理ip为10.0.13.254,其余接入交换机网关均在核心交换机上;客户端共有8个Vlan,分别为Vlan20-Vlan100,网段分别为10.0.20.0/24-10.0.100.0/24,网关均在核心交换机上;3需求一:对服务器区服务器做安全防护,只允许客户端访问服务器某些端口QQ邮件订阅 /KUCqX2

    博客地址 /1914756383/

    由于网络环境拓扑为客户端——客户端接入交换机——核心交换机——防火墙——服务器接入交换机——服务器,也即客户端访问服务器需要通过防火墙,所以对服务器的防护应该放到防火墙上来做,因为若用交换机来做过滤,配置麻烦且失去了防火墙应有的作用(此处不做防火墙配置介绍);4需求二:交换机只允许固定管理员通过ssh登陆此处做防护有较为方便的俩种方法一:在所有交换机配置VTY时,调用ACL只允许源为网络管理员的IP访问,但此方法虽配置不复杂,但是配置工作量较大需要在所有交换机上配置,而且不灵活例如在网络管理员人员或者IP变迁时,需要重新修改所有交换机ACL,所以并不是首选方案;二:因为管理交换机管理Vlan与所有客户端Vlan不在同一Vlan,也即客户端访问接入交换机必须通过核心交换机,所以可以在核心交换机上做ACL来控制客户端访对接入交换机的访问,核心交换机的访问通过VTY来调用ACL;配置部分在下面;5需求三:客户端VLAN之间不能互相访问,客户端只允许访问服务器VLAN一:在核心交换机上的所有链接客户端接入交换机端口做ACL,只放行访问服务器的流量,拒绝其余流量,但由于客户端接入交换机约有几十台,所以配置工作量大几十个端口都需要配置,所以也不是首选方案;二:在核心交换机上的客户端Vlan做Acl,只放行访问服务器的流量,拒绝其余流量,由于客户端Vlan共有8个所以相对于在物理接口上做ACL而言,工作量较小,所以选择此方案;6配置部分6.1ACL配置部分aclnumber2000QQ邮件订阅 /KUCqX2

    博客地址 /1914756383/

    rule5permitsource10.0.20.110rule10permitsource10.0.21.150rule15deny//定义允许访问核心交换机的俩位网络管理员IP地址;aclnumber3000rule51permitipdestination10.0.10.00.0.0.255rule53permitipdestination10.0.12.00.0.0.255rule55permitipdestination10.0.14.00.0.0.255rule56permitipdestination10.0.15.00.0.0.255rule57permitipdestination10.0.16.00.0.0.255rule58permitipdestination10.0.17.00.0.0.255rule59permitipdestination10.0.18.00.0.0.255rule60permitipdestination10.0.19.00.0.0.255//定义所有客户端只允许访问服务器Vlanrule71permittcpsource10.0.20.110destination10.0.13.00.0.0.255destination-porteq22rule72permittcpsource10.0.21.150destination10.0.13.00.0.0.255destination-porteq22//定义允许访问核心交换机的tcp22端口(即SSH)的俩位网络管理员IP;aclnumber3100rule5permitip//拒绝除允许网段外的其余所有流量//由于此处的acl3000及3100是给下面的QOS做调用的,所以此处的permit或deny不起作用,随意设置即可;QQ邮件订阅 /KUCqX2

    博客地址 /1914756383/

    6.2Qos调用部分trafficclassifier3000operatororprecedence5if-matchacl3000//定义名为classifier3000的流分类,并调用ACL3000trafficclassifier3100operatororprecedence10if-matchacl3100//定义名为classifier3100的流分类,并调用ACL3100//定义流分类trafficbehavior3000permit//定义名为behavior3000的流行为,并赋予允许值trafficbehavior3100deny//定义名为behavior3100的流行为,并赋予拒绝值//定义流行为//上面ACL的允许或拒绝不起作用,通过此处来定义拒绝或允许trafficpolicy634aclclassifier3000behavior3000classifier3100behavior3100//定义名为policy634acl流策略,并将classifier3000流分类与behavior3000流行为关联,以及classifier3100流分类与behavior3100流行为关联(注意:允许在前,拒绝在后);vlan20QQ邮件订阅 /KUCqX2

    博客地址 /1914756383/

    descriptionkjfzbjimitraffic-policy634aclinbound//依次登录客户端Vlan应用流策略至此完成了所有客户端Vlan之间不能互访,以及除网络管理员之外不能访问接入交换机管理网段的访问控制;user-interfacevty04acl2000inbound//在vty界面中调用Acl2000,即只允许俩网络管理员登录;authentication-modeaaauserprivilegelevel3protocolinboundssh//至此完成了只允许网络管理员登录核心交换机的访问控制;关于华为ACL日常维护中的一点点经验和大家分享下在已经做好的ACL控制策略中,如192.168.1.0禁止访问192.168.2.03.04.05.0网段aclnumber3001rule5denyipsource192.168.1.00.0.0.255destination192.168.2.00.0.0.255rule10denyipsource192.168.1.00.0.0.255destination192.168.3.00.0.0.255rule15denyipsource192.168.1.00.0.0.255destination192.168.4.00.0.0.255rule20denyipsource192.168.1.00.0.0.255destination192.168.5.00.0.0.255rule25denyipsource192.168.1.00.0.0.255destination192.168.6.00.0.0.128但是在工作需求中要重新调整,使得192.168.1.0中的某个IP如192.168.1.10需要访问已被禁止的网段中的某个IP如QQ邮件订阅 /KUCqX2

    博客地址 /1914756383/

    192.168.6.215,那么要将1.10与6.215互通在调整过程中需要什么呢.很显然重建建ACL规则是不可行的,因为将规则应用到端口上时,只能同时应用一条规则.那么就只能从原有的3001规则上下手了.下面是操作步骤:1.首先在端口上将inbound应用停用,如果3001已经在使用中,那么rule是不可更改的2.清空3001中的所有规则,做好备份.将permit条目放在前端,再恢复原有的规则,原因是acl匹配有一个自上而下的顺序匹配,所以必须首先permit后deny若先匹配到如rule25已经是deny,那么后面无论怎么做permit,结果还是拒绝,那么调整后的顺序应当是rule5permitipsource192.168.1.100destination192.168.6.2150rule10denyipsource192.168.1.00.0.0.255destination192.168.2.00.0.0.255rule15denyipsource192.168.1.00.0.0.255destination192.168.3.00.0.0.255rule20denyipsource192.168.1.00.0.0.255destination192.168.4.00.0.0.255rule25denyipsource192.168.1.00.0.0.255destination192.168.5.00.0.0.255rule30denyipsource192.168.1.00.0.0.255destination192.168.6.00.0.0.1283.重新应用至接口.在应用过程中注意一点trafficbehavior上permit与deny的区别.使用permit表示按照acl3001的规则来进行数据放行,3001中允许那就允许,禁止那就禁止但是若使用deny,则无论3001规则中的permit或者deny,一律全都丢弃不进行转发.关于路由器的调用,对比交换来说简单很多。traffic-filterinboundacl3001【接口下调用即可】说明:高版本的交换机VRP也支持该命令,可以简化ACL的配置。QQ邮件订阅 /KUCqX2

    博客地址 /1914756383/

    QQ邮件订阅 /KUCqX2

    2024年1月31日发(作者:受芳林)

    博客地址 /1914756383/

    华为路由交换由浅入深系列(九)-华为路由器交换ACL的应用与经验总结1ACL概述随着网络规模的扩大和流量的增加,对网络安全的控制和对带宽的分配成为网络管理的重要内容。通过对报文进行过滤,可以有效防止非法用户对网络的访问,同时也可以控制流量,节约网络资源。ACL(AccessControlList,访问控制列表)即是通过配置对报文的匹配规则和处理操作来实现包过滤的功能。更多资料访问尽在网络之路空间;【把学习当做生活,每天都在进步】/1914756383//KUCqX2ACL通过一系列的匹配条件对报文进行分类,这些条件可以是报文的源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口号等。2案例背景[交换机]网络环境拓扑如下(客户端接入交换机约有几十个,所有设备均采用静态IP)QQ邮件订阅 /KUCqX2

    博客地址 /1914756383/

    服务器区所有服务器网关均在核心交换机上,共有9个Vlan,9个网段分别如下;Vlan10-Vlan11网段分别为10.0.10.0/24-10.0.11.0/24Vlan14-Vlan19网段分别为10.0.14.0/24-10.0.19.0/24交换机管理Vlan为Vlan1:10.0.13.0/24,核心交换机的管理ip为10.0.13.254,其余接入交换机网关均在核心交换机上;客户端共有8个Vlan,分别为Vlan20-Vlan100,网段分别为10.0.20.0/24-10.0.100.0/24,网关均在核心交换机上;3需求一:对服务器区服务器做安全防护,只允许客户端访问服务器某些端口QQ邮件订阅 /KUCqX2

    博客地址 /1914756383/

    由于网络环境拓扑为客户端——客户端接入交换机——核心交换机——防火墙——服务器接入交换机——服务器,也即客户端访问服务器需要通过防火墙,所以对服务器的防护应该放到防火墙上来做,因为若用交换机来做过滤,配置麻烦且失去了防火墙应有的作用(此处不做防火墙配置介绍);4需求二:交换机只允许固定管理员通过ssh登陆此处做防护有较为方便的俩种方法一:在所有交换机配置VTY时,调用ACL只允许源为网络管理员的IP访问,但此方法虽配置不复杂,但是配置工作量较大需要在所有交换机上配置,而且不灵活例如在网络管理员人员或者IP变迁时,需要重新修改所有交换机ACL,所以并不是首选方案;二:因为管理交换机管理Vlan与所有客户端Vlan不在同一Vlan,也即客户端访问接入交换机必须通过核心交换机,所以可以在核心交换机上做ACL来控制客户端访对接入交换机的访问,核心交换机的访问通过VTY来调用ACL;配置部分在下面;5需求三:客户端VLAN之间不能互相访问,客户端只允许访问服务器VLAN一:在核心交换机上的所有链接客户端接入交换机端口做ACL,只放行访问服务器的流量,拒绝其余流量,但由于客户端接入交换机约有几十台,所以配置工作量大几十个端口都需要配置,所以也不是首选方案;二:在核心交换机上的客户端Vlan做Acl,只放行访问服务器的流量,拒绝其余流量,由于客户端Vlan共有8个所以相对于在物理接口上做ACL而言,工作量较小,所以选择此方案;6配置部分6.1ACL配置部分aclnumber2000QQ邮件订阅 /KUCqX2

    博客地址 /1914756383/

    rule5permitsource10.0.20.110rule10permitsource10.0.21.150rule15deny//定义允许访问核心交换机的俩位网络管理员IP地址;aclnumber3000rule51permitipdestination10.0.10.00.0.0.255rule53permitipdestination10.0.12.00.0.0.255rule55permitipdestination10.0.14.00.0.0.255rule56permitipdestination10.0.15.00.0.0.255rule57permitipdestination10.0.16.00.0.0.255rule58permitipdestination10.0.17.00.0.0.255rule59permitipdestination10.0.18.00.0.0.255rule60permitipdestination10.0.19.00.0.0.255//定义所有客户端只允许访问服务器Vlanrule71permittcpsource10.0.20.110destination10.0.13.00.0.0.255destination-porteq22rule72permittcpsource10.0.21.150destination10.0.13.00.0.0.255destination-porteq22//定义允许访问核心交换机的tcp22端口(即SSH)的俩位网络管理员IP;aclnumber3100rule5permitip//拒绝除允许网段外的其余所有流量//由于此处的acl3000及3100是给下面的QOS做调用的,所以此处的permit或deny不起作用,随意设置即可;QQ邮件订阅 /KUCqX2

    博客地址 /1914756383/

    6.2Qos调用部分trafficclassifier3000operatororprecedence5if-matchacl3000//定义名为classifier3000的流分类,并调用ACL3000trafficclassifier3100operatororprecedence10if-matchacl3100//定义名为classifier3100的流分类,并调用ACL3100//定义流分类trafficbehavior3000permit//定义名为behavior3000的流行为,并赋予允许值trafficbehavior3100deny//定义名为behavior3100的流行为,并赋予拒绝值//定义流行为//上面ACL的允许或拒绝不起作用,通过此处来定义拒绝或允许trafficpolicy634aclclassifier3000behavior3000classifier3100behavior3100//定义名为policy634acl流策略,并将classifier3000流分类与behavior3000流行为关联,以及classifier3100流分类与behavior3100流行为关联(注意:允许在前,拒绝在后);vlan20QQ邮件订阅 /KUCqX2

    博客地址 /1914756383/

    descriptionkjfzbjimitraffic-policy634aclinbound//依次登录客户端Vlan应用流策略至此完成了所有客户端Vlan之间不能互访,以及除网络管理员之外不能访问接入交换机管理网段的访问控制;user-interfacevty04acl2000inbound//在vty界面中调用Acl2000,即只允许俩网络管理员登录;authentication-modeaaauserprivilegelevel3protocolinboundssh//至此完成了只允许网络管理员登录核心交换机的访问控制;关于华为ACL日常维护中的一点点经验和大家分享下在已经做好的ACL控制策略中,如192.168.1.0禁止访问192.168.2.03.04.05.0网段aclnumber3001rule5denyipsource192.168.1.00.0.0.255destination192.168.2.00.0.0.255rule10denyipsource192.168.1.00.0.0.255destination192.168.3.00.0.0.255rule15denyipsource192.168.1.00.0.0.255destination192.168.4.00.0.0.255rule20denyipsource192.168.1.00.0.0.255destination192.168.5.00.0.0.255rule25denyipsource192.168.1.00.0.0.255destination192.168.6.00.0.0.128但是在工作需求中要重新调整,使得192.168.1.0中的某个IP如192.168.1.10需要访问已被禁止的网段中的某个IP如QQ邮件订阅 /KUCqX2

    博客地址 /1914756383/

    192.168.6.215,那么要将1.10与6.215互通在调整过程中需要什么呢.很显然重建建ACL规则是不可行的,因为将规则应用到端口上时,只能同时应用一条规则.那么就只能从原有的3001规则上下手了.下面是操作步骤:1.首先在端口上将inbound应用停用,如果3001已经在使用中,那么rule是不可更改的2.清空3001中的所有规则,做好备份.将permit条目放在前端,再恢复原有的规则,原因是acl匹配有一个自上而下的顺序匹配,所以必须首先permit后deny若先匹配到如rule25已经是deny,那么后面无论怎么做permit,结果还是拒绝,那么调整后的顺序应当是rule5permitipsource192.168.1.100destination192.168.6.2150rule10denyipsource192.168.1.00.0.0.255destination192.168.2.00.0.0.255rule15denyipsource192.168.1.00.0.0.255destination192.168.3.00.0.0.255rule20denyipsource192.168.1.00.0.0.255destination192.168.4.00.0.0.255rule25denyipsource192.168.1.00.0.0.255destination192.168.5.00.0.0.255rule30denyipsource192.168.1.00.0.0.255destination192.168.6.00.0.0.1283.重新应用至接口.在应用过程中注意一点trafficbehavior上permit与deny的区别.使用permit表示按照acl3001的规则来进行数据放行,3001中允许那就允许,禁止那就禁止但是若使用deny,则无论3001规则中的permit或者deny,一律全都丢弃不进行转发.关于路由器的调用,对比交换来说简单很多。traffic-filterinboundacl3001【接口下调用即可】说明:高版本的交换机VRP也支持该命令,可以简化ACL的配置。QQ邮件订阅 /KUCqX2

    博客地址 /1914756383/

    QQ邮件订阅 /KUCqX2

    与本文相关的文章

    发布评论

    评论列表 (0)

    1. 暂无评论