最近来了一台华为5700 SI版本交换机,也上了一台防火墙不过是百兆的,主要用于监控与视频会议,为了带宽,防火墙就基本没啥作用了,直接拆了不用,但还是要保证安全,只能在5700上做ACL安全策略,所以研究了一下ACL的配置。
一、说明:
1、华为交换机的ACL规则没变,但下发需要通过流策略traffic policy下发;
2、流策略又包括相应的流分类traffic classifier,流行为traffic behavior;
3、流分类traffic classifier用于绑定相应的ACL规则,流行为traffic behavior决定匹配的流分类是否permit或deny;
4、ACL规则里只需配置匹配的流,使用permit标识,而deny基本没啥用;
5、如果有多个ACL number,在流策略traffic policy里需要按顺序绑定(根据业务是先允午后禁止或先禁止后允许),800说可以配优先级,但我么有发现命令。
6、在接口的inbound 方向下发。
二、版本信息
Huawei Versatile Routing Platform Software
VRP (R) software, Version 5.110 (S5700 V200R001C00SPC300)
Copyright (C) 2000-2012 HUAWEI TECH CO., LTD
Quidway S5700-24TP-SI-AC Routing Switch uptime is 17 weeks, 1 day, 7 hours,
三、配置
1、需求
1)只允许特定的网段(192.168.1.0/24)到特定的网段192.168.2.0/24)的访问
2)禁止特定的网段(192.168.1.0/24) 到any的访问。
2、配置:
1)定义允许的ACL规则
acl number 3001
rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
2)定义禁止的ACL规则
acl number 3002
rule 5 permit ip source 192.168.1.0 0.0.0.255 也使用permit,在这里意思其实是匹配的意思
3)定义流分类
traffic classifier xl1 operator and 绑定允许的ACL规则
if-match acl 3001
traffic classifier xl2 operator and 绑定禁止的ACL规则
if-match acl 3002
4)定义流动作,这里才是真正决定是允许还是禁止
traffic behavior xl001
permit 允许动作
traffic behavior xl002
deny 禁止动作
5)定义流策略 (这里最好注意顺序,避免一些问题发生)
traffic policy xlpolicy
classifier xl1 behavior xl001 先绑定流分类xl1到流动作 xl001
classifier xl2 behavior xl002 再绑定流分类xl2到流动作 xl002
6)靠近源地址端接口入方向下发
interface GigabitEthernet0/0/23
traffic-policy xlpolicy inbound
总结,其实也很好理解,ACL规则下的permit用于匹配流,流动作里的permit或deny才是真正的对包文的允许与禁止动作。
也可参考华为手里的一句话:
基于硬件的应用:ACL 被下发到硬件,例如配置QoS 功能时引用ACL,对报文进
行流分类。需要注意的是,当ACL 被QoS 功能引用时,如果ACL 规则中定义的
动作为deny,则匹配此ACL 的报文就被丢弃。如果ACL 规则中定义的动作为
permit,则S5700 对匹配此ACL 的报文采取的动作由QoS 中流行为定义的动作决
定。
(貌似华为官方写的不是很好理解,网络还需要动手去发现)。