最近來了一臺華爲5700 SI版本交換機,也上了一臺防火牆不過是百兆的,主要用於監控與視頻會議,爲了帶寬,防火牆就基本沒啥作用了,直接拆了不用,但還是要保證安全,只能在5700上做ACL安全策略,所以研究了一下ACL的配置。
一、說明:
1、華爲交換機的ACL規則沒變,但下發需要通過流策略traffic policy下發;
2、流策略又包括相應的流分類traffic classifier,流行爲traffic behavior;
3、流分類traffic classifier用於綁定相應的ACL規則,流行爲traffic behavior決定匹配的流分類是否permit或deny;
4、ACL規則裏只需配置匹配的流,使用permit標識,而deny基本沒啥用;
5、如果有多個ACL number,在流策略traffic policy裏需要按順序綁定(根據業務是先允午後禁止或先禁止後允許),800說可以配優先級,但我麼有發現命令。
6、在接口的inbound 方向下發。
二、版本信息
Huawei Versatile Routing Platform Software
VRP (R) software, Version 5.110 (S5700 V200R001C00SPC300)
Copyright (C) 2000-2012 HUAWEI TECH CO., LTD
Quidway S5700-24TP-SI-AC Routing Switch uptime is 17 weeks, 1 day, 7 hours,
三、配置
1、需求
1)只允許特定的網段(192.168.1.0/24)到特定的網段192.168.2.0/24)的訪問
2)禁止特定的網段(192.168.1.0/24) 到any的訪問。
2、配置:
1)定義允許的ACL規則
acl number 3001
rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
2)定義禁止的ACL規則
acl number 3002
rule 5 permit ip source 192.168.1.0 0.0.0.255 也使用permit,在這裏意思其實是匹配的意思
3)定義流分類
traffic classifier xl1 operator and 綁定允許的ACL規則
if-match acl 3001
traffic classifier xl2 operator and 綁定禁止的ACL規則
if-match acl 3002
4)定義流動作,這裏纔是真正決定是允許還是禁止
traffic behavior xl001
permit 允許動作
traffic behavior xl002
deny 禁止動作
5)定義流策略 (這裏最好注意順序,避免一些問題發生)
traffic policy xlpolicy
classifier xl1 behavior xl001 先綁定流分類xl1到流動作 xl001
classifier xl2 behavior xl002 再綁定流分類xl2到流動作 xl002
6)靠近源地址端接口入方向下發
interface GigabitEthernet0/0/23
traffic-policy xlpolicy inbound
總結,其實也很好理解,ACL規則下的permit用於匹配流,流動作裏的permit或deny纔是真正的對包文的允許與禁止動作。
也可參考華爲手裏的一句話:
基於硬件的應用:ACL 被下發到硬件,例如配置QoS 功能時引用ACL,對報文進
行流分類。需要注意的是,當ACL 被QoS 功能引用時,如果ACL 規則中定義的
動作爲deny,則匹配此ACL 的報文就被丟棄。如果ACL 規則中定義的動作爲
permit,則S5700 對匹配此ACL 的報文采取的動作由QoS 中流行爲定義的動作決
定。
(貌似華爲官方寫的不是很好理解,網絡還需要動手去發現)。