實驗目标
驗證華為交換機在視圖模式下配置全局ACL流量過濾和全局基于VLAN模式下inbound和outbound過濾情況進行總結。測試環境主要用到LSW2交換機、Server1、Client1、Client2、PC2、PC5。
實驗拓撲圖
實驗配置一(黑名單模式)
全局下拓展ACL簡化流政策
LSW2:
acl number 3001
rule 10 deny icmp source 192.168.20.20 0
rule 20 deny tcp source 192.168.20.30 0 destination-port eq ftp
rule 25 deny tcp source 192.168.20.30 0 destination-port eq www
rule 30 permit ip
[LSW2]traffic-filter inbound acl 3001
- 未應用全局ACL前測試情況:
PC5可正常PING通Server1
Client1可正常ftp通路Server1
Client1可正常http通路Server1
- 啟用用全局ACL前測試情況:
LSW2啟用全局ACL過濾
PC5 PING不通Server1
Client1仍可ftp通路Server1
Client1仍可http通路Server1
PC2、Client2可正常PING通Server1
測試發現,全局模式下ACL過濾對高層協定(L4及以上層)無效,對網絡層協定有效。并且建議采用黑名單才限制流量,即最後一條一定要permit ip any.
全局下基于vlan的拓展ACL簡化流政策
[LSW2]traffic-filter vlan 20 inbound acl 3001
- 啟用用全局VLAN模式下ACL前測試情況:
LSW2應用全局VLAN Inbound方向ACL
PC5 PING 不通Server1
Client1 可ftp通路Server1
Client1可http通路Server1
PC2、Client2 PING Server1
實驗配置一測試總結
測試發現,全局模式下acl過濾和全局vlan模式下acl過濾對高層協定(L4及以上層)無效,對網絡層協定有效。inbound和outbound效果一樣,并且建議采用黑名單才限制流量,即最後一條一定要permit ip any.
實驗配置二(白名單模式)
全局下拓展ACL簡化流政策(慎用白名單機制,防止因漏放政策導緻ospf鄰居down或其它協定受影響)
acl number 3003
rule 10 permit ip source 192.168.20.20 0 destination 192.168.10.10 0
rule 15 permit ip source 192.168.10.10 0 destination 192.168.20.20 0
rule 20 permit ip source 192.168.20.30 0 destination 192.168.10.10 0
rule 25 permit ip source 192.168.10.10 0 destination 192.168.20.30 0
rule 30 deny ip
[LSW2]traffic-filter inbound acl 3003
PC5可PING通Server1
Client1 可http通路Server1
Client1可ftp通路Server1
PC2、Client2不能PING通Server1
ospf鄰居關系down
測試發現,全局acl過濾對全局生效,且要注意來回流量方向性的改變。是以每一條放行
政策實際要寫兩條,目标位址有互換。
[LSW2]traffic-filter vlan 20 inbound acl 3003
- 啟用用全局VLAN ACL前測試情況:
Client2可PING通Server1,PC2不能PING通Server1
測試結論,基于全局下vlan的acl過濾則隻針對vlan生效,且要注意來回流量方向性的改變。是以每一條放行政策實際要寫兩條,源目标位址有互換,inbound生效。改變方向,把inbound換成outbound,測試發現結果不生效。
實驗總結:
- 全局模式下acl過濾和全局vlan模式下acl過濾對高層協定(L4及以上層)無效,對網絡層協定有效。并且建議采用黑名單才限制流量,即最後一條一定要permit ip any.
- 全局acl過濾對全局生效,而基于全局下vlan的acl過濾則隻針對vlan生效,且要注意來回流量方向性的改變。是以每一條放行政策實際要寫兩條,目标位址有互換。inbound生效,outbound不生效。
- 盡量慎用白名單機制,因漏放政策很容易導緻網絡如OSPF協定(OSPF協定工作在網絡層)down掉。