作者freeunixer (离自相空她相)
看板MIS
标题[请益] 华为交换器的 acl
时间Wed Mar 20 18:17:19 2019
想问板上有没有常碰华为交换器的,我想请问几个关於 acl 的问题.
如果单纯只是用 port isolate,只能隔开 port isolate 之间的 port,
但如果我是想让 port 与 port 之间,有 allow 的 protocol
必须要用 adv ACL, 要设来源或还有目的 ip,
1.
这个 ip 段一定要先设在机器上吗?
如果接在不定 port 的 client 是 public ip
可以直接写 rule permit/deny source .. destination .. 就好吗?
2.
一则 acl 只会抓第一个符合的 rule 就 end,
那麽我可以在某个 port 套用两个或以上的 acl 吗?
3.
如果某个 port 开了 isolate,是不是就无法 permit 其它 in 或 out 的 acl?
--
读者审校网试行版(2018/1/1 更新网址)
http://readerreviewnet.processoroverload.net/
(哲、史、法、政、经、社,人文翻译书籍错译提报网)
◎洪兰"毁人不倦"举报专区
http://tinyurl.com/ybfmzwne
读者需自救,有错自己改...
--
1F:→ eric00169: 我先确认 华为所谓的port隔离是否就是vlan 03/21 09:19
2F:→ eric00169: 因为这牌很多设定跟中文描述都满奇怪的 03/21 09:19
3F:→ eric00169: 如果是Vlan那跟ACL无关 03/21 09:19
4F:→ freeunixer: 不是,是 port-isolate 03/21 10:05
5F:→ deadwood: ACL写法可能每一家设备都有点差异,不过基本上应该原则 03/21 10:07
6F:→ deadwood: 都一样,大多是分为standard 跟extend acl 03/21 10:10
7F:→ deadwood: standard 只能设定来源 extend 可以设来源跟目的 03/21 10:11
8F:→ deadwood: 设定完ACL以後要套用在port上面(分为input跟output) 03/21 10:12
9F:→ deadwood: IP的部分只要设定在ACL内就好了,switch会看封包标头 03/21 10:13
10F:→ deadwood: 同一条ACL可以有很多条rule,但是一个port通常只能套用 03/21 10:15
11F:→ deadwood: 一个ACL,所以你必须把所有想过滤的条件写成rule放进 03/21 10:15
12F:→ deadwood: 同一条ACL才行,由於rule先套用到的就先执行,不会往下 03/21 10:16
13F:→ deadwood: 再比对,所以自己要排好顺序(用rule ID) 03/21 10:17
14F:→ deadwood: 一个原则就是IP范围越小的放越上面 03/21 10:17
15F:→ deadwood: 3.你要自己试,理论上两个不同功能不至於冲突 03/21 10:19
16F:→ freeunixer: 所谓先套用到,是指每个封包的比对,那一条先 match 吗? 03/21 11:37
17F:→ deadwood: rule先match到的就先执行 03/21 13:49
18F:→ freeunixer: 那我有个问题,如果这个 port 不能连 ip1:3306, 03/21 15:38
19F:→ freeunixer: 但可以连 ip1:80, 这样两条都会生效对吧? 03/21 15:39
20F:→ freeunixer: 因为两条同时间只会有一条被 match. 03/21 15:43
21F:推 seeya08: 两条都会生效是什麽意思?照顺序一条一条比对,遇到符合 03/21 17:12
22F:→ seeya08: 条件的就会转送或丢弃,没其他动作了 03/21 17:12
23F:→ freeunixer: 简单说就是一条 acl 只要 ip & port 不重复就可以对吧 03/21 17:27
我设了一条测试 acl
acl 3000
rule deny icmp source 192.168.1.20 0
intface ethernet 0/0/17 (这个 port 接的 nb ip 是 192.168.1.22)
traffic-filter inbound acl 3000
然後我从 ethernet 0/0/1 的 192.168.1.20 去 ping 它,还是 ping 得到...
哪里错了呢?
或者,像这样的 rule,该怎麽写才对?
※ 编辑: freeunixer (60.250.37.178), 03/21/2019 17:59:52
24F:→ fonzae: source是这样写的? 0跟32? 03/21 18:44
25F:→ freeunixer: 对,华为的 netmask 写法是反的. 03/21 18:50
26F:→ freeunixer: 但重点是,找不到在华为上写过 acl 的人告诉我该怎麽写 03/21 18:51
27F:→ freeunixer: 我看了一堆网页上的说明,改了很多种写法,都没效... 03/21 18:51
28F:→ fonzae: 没用过华为,想不到是反的 03/21 18:52
29F:→ fonzae: 看了一下,他的命令 03/21 19:05
31F:→ fonzae: 规则跟CISCO差不多阿 03/21 19:06
32F:推 seeya08: 因为0/0/1 in收到後,交换机处理後由0/0/17 out出去,所 03/21 20:14
33F:→ seeya08: 以不会受到限制。你的测试,acl要套用在0/0/1 in或0/0/17 03/21 20:14
34F:→ seeya08: out才会成功限制到.20的封包。 03/21 20:14
35F:推 seeya08: 另外cisco也是用wildcard写,本来就和遮罩写法相反 03/21 20:15
36F:→ freeunixer: 好,我明天试试 0/1/1 in, 但我发现 S3300 没 outbound 03/21 21:43
37F:→ freeunixer: 也就是我只能套 inbound...怎麽会这样呢? 03/21 21:43
38F:推 seeya08: L2 Switch的Port ACL只能设定在I/F的Inbound上 03/21 22:17
39F:→ freeunixer: 我用的是 adv acl,可以设 ip , port 与 protocol 的.. 03/21 23:27
40F:→ freeunixer: 我查网上的资料,是有人设 outbound,但我设的时候却没. 03/21 23:28
41F:推 seeya08: 和standard或extended没关系,L2 I/F就会有只能套inbound 03/21 23:44
42F:→ seeya08: 的限制。如果你用的是L3 Switch,把I/F设定为L3 I/F就可 03/21 23:44
43F:→ seeya08: 以套在outbound了(但要看你整体的规划和目的是什麽) 03/21 23:44
44F:→ deadwood: 用型号、软体版本去找设定文件来看,不要漫无目的地找 03/21 23:55
45F:→ freeunixer: 华为是用 acl number 来决定它是 l2 还是 l3, 03/22 01:26
46F:→ freeunixer: 我是用 adv(l3) 的 number range 在设 acl 的. 03/22 01:26
47F:→ freeunixer: 哦~ 华为的 switch port 还有分 l2/l3 吗?我白天查查. 03/22 01:31
48F:→ freeunixer: 成功了,把 deny destination 写在 dest 以外的 port, 03/22 15:48
49F:→ freeunixer: 这样 dest port 就收不到 match 的封包了. 03/22 15:49
50F:→ freeunixer: 虽然这样有点麻烦,得在所有的 port 套,不过在找不到 03/22 15:50
51F:→ freeunixer: outbound ACL 怎麽写以前,只好这样先挡着用... 03/22 15:50
52F:→ freeunixer: 不过要加 rule 的话,得全部 port 先停用 acl 才能改, 03/22 15:52
53F:→ freeunixer: 是有点麻烦... 03/22 15:53
54F:→ deadwood: 没这麽笨吧....ACL修改就直接改了,不必先停用port上的 03/22 16:43
55F:→ deadwood: 再说应该也可以一次对所有port下指令才对 03/22 16:44
56F:→ freeunixer: 我在已套用的 acl 上做修改时,会出现应用中,禁修改... 03/22 17:06
57F:→ freeunixer: 至於对所有 port 同时下设定,我要查一下华为怎麽用. 03/22 17:07
58F:→ freeunixer: 要先确定有没这功能..这牌子的东西还挺难搞的, 03/22 17:08
59F:→ freeunixer: 每个机型、韧体版本的指令都不太一样... 03/22 17:08