华为交换机acl设置实例答应拜候(华为交换机acl实现vlan隔离)

[db:作者]

目标是考证华为交换机在全球范围内设置了检察形式下的全局ACL流量过滤和VLAN形式下的入站和出站过滤他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。测试情况中首要利用LSW2交换机、Server1、Client1、Client2、PC2和PC5他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
尝试拓扑图
尝试拓扑图
尝试一(黑名单形式)全局扩大ACL，简化流量战略他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
LSW2:
acl编号3001
法则10拒绝icmp源192.168.20.20 0
法则20拒绝tcp源192.168.20.30 0目标端口eq ftp
法则25拒绝tcp源192.168.20.30目标端口eq www
法则30答应ip
[ls w2]流量挑选器入站acl 3001
[*]在利用全局ACL之进步行测试:PC5可以一般PING通Server1他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
客户端1可以一般地ftp到办事器1他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
客户端1可以一般地http拜候办事器1他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
[*]在启用全局ACL之前测试情况:LSW2启用全局ACL过滤他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
Pcping没法到达办事器1他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
客户端1仍然可以经过ftp拜候办事器1他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
客户端1仍然可以经过http拜候办事器1
2.客户端2可以一般PING办事器1他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
发现全局形式下的ACL过滤对高层协议(L4及以上)无效，对收集级协议有用他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。而且倡议利用黑名单来限制流量，即最初一个必须是permit ip any他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
基于全局vlan的扩大ACL流战略
acl编号3001
法则10拒绝icmp源192.168.20.20 0
法则20拒绝tcp源192.168.20.30 0目标端口eq ftp
法则25拒绝tcp源192.168.20.30目标端口eq www
法则30答应ip
[ls w2]流量挑选器vlan 20入站acl 3001
[*]在全局VLAN形式下启用ACL之进步行测试:LSW2利用全球VLAN入站偏向的ACL他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
Pcping没法到达办事器1他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
客户端1可以经过ftp拜候办事器1他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
客户端1可以经过http拜候办事器1他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
PC2、客户端2 PING办事器1
按照设置1的汇总测试，全局形式下的acl过滤和全局vlan形式下的acl过滤对高层协议(L4及以上)无效，对收集层协议有用他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。入站和出站结果一样，倡议利用黑名单限制流量，即最初一个必须是permit ip any他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
尝试二(白名单形式):全局扩大ACL，简化流量战略(谨慎利用白名单机制，避免ospf邻人宕机或其他协议因泄露战略遭到影响)
LSW2:
acl编号3003
法则10答应ip源192.168.20.20 0目标地192.168.10.10 0
法则15答应ip源192.168.10.10 0目标地192.168.20.20 0
法则20答应ip源192.168.20.30 0目标地192.168.10.10 0
法则25答应ip源192.168.10.10 0目标地192.168.20.30 0
法则30拒绝ip
[ls w2]流量挑选器入站acl 3003
[*]在启用全局ACL之前测试情况:PC5可以PING通办事器1他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
客户端1可以经过http拜候办事器1他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
客户端1可以经过ftp拜候办事器1他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
2.客户端2没法PING通办事器1他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
Ospf邻人关系封闭
发现全局acl过滤在全局上是有用的，要留意往返流量偏向的变化他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。所以，每篇文章都是放出来的他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
实在应当写两个战略，方针地址交换他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
基于全局vlan的扩大ACL流战略
acl编号3003
法则10答应ip源192.168.20.20 0目标地192.168.10.10 0
法则15答应ip源192.168.10.10 0目标地192.168.20.20 0
法则20答应ip源192.168.20.30 0目标地192.168.10.10 0
法则25答应ip源192.168.10.10 0目标地192.168.20.30 0
法则30拒绝ip
[ls w2]流量挑选器vlan 20入站acl 3003
[*]在启用全局VLAN ACL之前测试情况:PC5可以PING通办事器1他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
客户端1可以经过ftp拜候办事器1他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
客户端1可以经过http拜候办事器1他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
Client2可以PING通Server1，但PC2没法PING通Server1他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
测试结论:基于全局vlan的acl过滤仅对vlan有用，要留意流量偏向的变化他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。所以，每个开释战略现实上应当写成两个，源地址和目标地址交换，入站生效他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。换个偏向，把进站换成出站，检测成果不生效他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。
总结:全局形式下的acl过滤和全局vlan形式下的acl过滤对高层协议(L4及以上)无效，对收集层协议有用他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。而且倡议利用黑名单来限制流量，即最初一个必须是permit ip any他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。[*]全局acl过滤是全局生效的，而基于全局VLAN的acl过滤只对VLAN生效，要留意流量偏向的变化他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。是以，每个公布战略现实上应当写成两个，目标地址是可以交换的他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。入站生效，出站不生效他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。[*]只管谨慎利用白名单机制，由于泄露战略很轻易致使OSPF协议(OSPF协议工作在收集层)等收集瘫痪他早就发现系统有个隐藏的缝隙私下花了好几个早晨优化了代码。