华为交换机访问控制策略

关注 Targus

华为交换机访问控制策略

原创

Targus 2017-09-20 23:40:20 ©著作权

文章标签 华为交换机 traffic 文章分类 网络安全

©著作权归作者所有：来自51CTO博客作者Targus的原创作品，请联系作者获取转载授权，否则将追究法律责任

实验环境使用华为eNSP(1.2.00.500),交换机版本V2R1，在LSW1做访问策略，拓扑如下:

PC1：10.0.80.254; PC2：10.0.89.254; PC3：10.0.87.254; PC4：10.0.88.254;

Traffic-filter

acl 3000
rule 87 deny ip source 10.0.80.0 0.0.0.255 destination 10.0.87.0 0.0.0.255
rule 88 permit ip source 10.0.80.0 0.0.0.255 destination 10.0.88.0 0.0.0.255

在接口G0/0/1下使用traffic-filter调用acl3000，结果为

PC1-->PC3 不通； PC1-->PC4 通； PC1-->PC2 通；

Traffic-policy

（一）

acl 3000
rule 87 permit ip source 10.0.80.0 0.0.0.255 destination 10.0.87.0 0.0.0.255
rule 88 permit ip source 10.0.80.0 0.0.0.255 destination 10.0.88.0 0.0.0.255

traffic classifier c1 operator and
if-match acl 3000

traffic behavior b1
deny
traffic policy p1
classifier c1 behavior b1

在接口G0/0/1下使用traffic-policy调用p1于inbound方向，结果为

PC1-->PC3 不通； PC1-->PC4 不通； PC1-->PC2 通；在vlan下使用traffic-policy调用p1于inbound方向，结果相同。

（二）

acl 3000
rule 87 deny ip source 10.0.80.0 0.0.0.255 destination 10.0.87.0 0.0.0.255
rule 88 permit ip source 10.0.80.0 0.0.0.255 destination 10.0.88.0 0.0.0.255

traffic classifier c1 operator and
if-match acl 3000

traffic behavior b1
deny
traffic policy p1
classifier c1 behavior b1

在接口G0/0/1下使用traffic-policy调用p1于inbound方向，结果为

PC1-->PC3 不通； PC1-->PC4 不通； PC1-->PC2 通；在vlan下使用traffic-policy调用p1于inbound方向，结果相同。

（三）

acl 3000
rule 87 deny ip source 10.0.80.0 0.0.0.255 destination 10.0.87.0 0.0.0.255
rule 88 permit ip source 10.0.80.0 0.0.0.255 destination 10.0.88.0 0.0.0.255

traffic classifier c1 operator and
if-match acl 3000

traffic behavior b1
permit
traffic policy p1
classifier c1 behavior b1

在接口G0/0/1下使用traffic-policy调用p1于inbound方向，结果为

PC1-->PC3 不通； PC1-->PC4 通； PC1-->PC2 通；在vlan下使用traffic-policy调用p1于inbound方向，结果相同。

（四）

acl 3000
rule 87 permit ip source 10.0.80.0 0.0.0.255 destination 10.0.87.0 0.0.0.255
rule 88 permit ip source 10.0.80.0 0.0.0.255 destination 10.0.88.0 0.0.0.255

traffic classifier c1 operator and
if-match acl 3000

traffic behavior b1
permit
traffic policy p1
classifier c1 behavior b1

在接口G0/0/1下使用traffic-policy调用p1于inbound方向，结果为

PC1-->PC3 通； PC1-->PC4 通； PC1-->PC2 通；在vlan下使用traffic-policy调用p1于inbound方向，结果相同。

结论：

华为设备的ACL仅仅是用于匹配，最好是明确允许或拒绝流量；
使用traffic-policy时，rule匹配后，才匹配behavior，否则，直接放行流量；
使用traffic-policy时，rule匹配后，才匹配behavior，rule或behavior为deny则deny；
访问控制策略尽量用在in方向

赞
收藏
评论
分享
举报

上一篇：在思科路由器上部署EZ×××(PC Client)

下一篇：我的友情链接

提问和评论都可以，用心的回复会被更多人看到评论

发布评论

相关文章

举报文章

请选择举报类型

内容侵权涉嫌营销内容抄袭违法信息其他

具体原因

包含不真实信息涉及个人隐私

原文链接（必填）

补充说明

0/200

上传截图

格式支持JPEG/PNG/JPG，图片不超过1.9M

已经收到您得举报信息，我们会尽快审核

鸿蒙开发者社区

WOT技术大会

公众号矩阵

移动端

短视频免费课程课程排行直播课软考学堂

全部课程厂商认证 IT技术 24年11月软考 PMP项目管理免费题库

在线学习

文章资源问答课堂专栏直播

51CTO

鸿蒙开发者社区

51CTO技术栈

51CTO官微

51CTO学堂

51CTO博客

CTO训练营

鸿蒙开发者社区订阅号

51CTO软考

51CTO学堂APP

51CTO学堂企业版APP

鸿蒙开发者社区视频号

51CTO软考题库

51CTO博客

首页
关注
排行榜
软考题库

科目全、试题精、讲解专业，扫码免费刷

搜索历史清空

热门搜索

查看【】的结果
写文章
创作中心
登录注册