实验目标

验证华为交换机在视图模式下配置全局ACL流量过滤和全局基于VLAN模式下inbound和outbound过滤情况进行总结。测试环境主要用到LSW2交换机、Server1、Client1、Client2、PC2、PC5。

实验拓扑图

实验拓扑图

实验配置一(黑名单模式)

全局下拓展ACL简化流策略

LSW2:

acl number 3001

rule 10 deny icmp source 192.168.20.20 0

rule 20 deny tcp source 192.168.20.30 0 destination-port eq ftp

rule 25 deny tcp source 192.168.20.30 0 destination-port eq www

rule 30 permit ip

[LSW2]traffic-filter inbound acl 3001

  • 未应用全局ACL前测试情况:

PC5可正常PING通Server1

Client1可正常ftp访问Server1

Client1可正常http访问Server1

  • 启用用全局ACL前测试情况:

LSW2启用全局ACL过滤

PC5 PING不通Server1

Client1仍可ftp访问Server1

Client1仍可http访问Server1

PC2、Client2可正常PING通Server1

测试发现,全局模式下ACL过滤对高层协议(L4及以上层)无效,对网络层协议有效。并且建议采用黑名单才限制流量,即最后一条一定要permit ip any.

全局下基于vlan的拓展ACL简化流策略

acl number 3001

rule 10 deny icmp source 192.168.20.20 0

rule 20 deny tcp source 192.168.20.30 0 destination-port eq ftp

rule 25 deny tcp source 192.168.20.30 0 destination-port eq www

rule 30 permit ip

[LSW2]traffic-filter vlan 20 inbound acl 3001

  • 启用用全局VLAN模式下ACL前测试情况:

LSW2应用全局VLAN Inbound方向ACL

PC5 PING 不通Server1

Client1 可ftp访问Server1

Client1可http访问Server1

PC2、Client2 PING Server1

实验配置一测试总结

测试发现,全局模式下acl过滤和全局vlan模式下acl过滤对高层协议(L4及以上层)无效,对网络层协议有效。inbound和outbound效果一样,并且建议采用黑名单才限制流量,即最后一条一定要permit ip any.

实验配置二(白名单模式)

全局下拓展ACL简化流策略(慎用白名单机制,防止因漏放策略导致ospf邻居down或其它协议受影响)

LSW2:

acl number 3003

rule 10 permit ip source 192.168.20.20 0 destination 192.168.10.10 0

rule 15 permit ip source 192.168.10.10 0 destination 192.168.20.20 0

rule 20 permit ip source 192.168.20.30 0 destination 192.168.10.10 0

rule 25 permit ip source 192.168.10.10 0 destination 192.168.20.30 0

rule 30 deny ip

[LSW2]traffic-filter inbound acl 3003

  • 启用用全局ACL前测试情况:

PC5可PING通Server1

Client1 可http访问Server1

Client1可ftp访问Server1

PC2、Client2不能PING通Server1

ospf邻居关系down

测试发现,全局acl过滤对全局生效,且要注意来回流量方向性的改变。因此每一条放行

策略实际要写两条,目标地址有互换。


全局下基于vlan的拓展ACL简化流策略

acl number 3003

rule 10 permit ip source 192.168.20.20 0 destination 192.168.10.10 0

rule 15 permit ip source 192.168.10.10 0 destination 192.168.20.20 0

rule 20 permit ip source 192.168.20.30 0 destination 192.168.10.10 0

rule 25 permit ip source 192.168.10.10 0 destination 192.168.20.30 0

rule 30 deny ip

[LSW2]traffic-filter vlan 20 inbound acl 3003

  • 启用用全局VLAN ACL前测试情况:

PC5可PING通Server1

Client1可ftp访问Server1

Client1可http访问Server1

Client2可PING通Server1,PC2不能PING通Server1

测试结论,基于全局下vlan的acl过滤则只针对vlan生效,且要注意来回流量方向性的改变。因此每一条放行策略实际要写两条,源目标地址有互换,inbound生效。改变方向,把inbound换成outbound,测试发现结果不生效。

实验总结:

  1. 全局模式下acl过滤和全局vlan模式下acl过滤对高层协议(L4及以上层)无效,对网络层协议有效。并且建议采用黑名单才限制流量,即最后一条一定要permit ip any.
  2. 全局acl过滤对全局生效,而基于全局下vlan的acl过滤则只针对vlan生效,且要注意来回流量方向性的改变。因此每一条放行策略实际要写两条,目标地址有互换。inbound生效,outbound不生效。
  3. 尽量慎用白名单机制,因漏放策略很容易导致网络如OSPF协议(OSPF协议工作在网络层)down掉。