作者freeunixer (離自相空她相)
看板MIS
標題[請益] 華為交換器的 acl
時間Wed Mar 20 18:17:19 2019
想問板上有沒有常碰華為交換器的,我想請問幾個關於 acl 的問題.
如果單純只是用 port isolate,只能隔開 port isolate 之間的 port,
但如果我是想讓 port 與 port 之間,有 allow 的 protocol
必須要用 adv ACL, 要設來源或還有目的 ip,
1.
這個 ip 段一定要先設在機器上嗎?
如果接在不定 port 的 client 是 public ip
可以直接寫 rule permit/deny source .. destination .. 就好嗎?
2.
一則 acl 只會抓第一個符合的 rule 就 end,
那麼我可以在某個 port 套用兩個或以上的 acl 嗎?
3.
如果某個 port 開了 isolate,是不是就無法 permit 其它 in 或 out 的 acl?
--
讀者審校網試行版(2018/1/1 更新網址)
http://readerreviewnet.processoroverload.net/
(哲、史、法、政、經、社,人文翻譯書籍錯譯提報網)
◎洪蘭"毀人不倦"舉報專區
http://tinyurl.com/ybfmzwne
讀者需自救,有錯自己改...
--
1F:→ eric00169: 我先確認 華為所謂的port隔離是否就是vlan 03/21 09:19
2F:→ eric00169: 因為這牌很多設定跟中文描述都滿奇怪的 03/21 09:19
3F:→ eric00169: 如果是Vlan那跟ACL無關 03/21 09:19
4F:→ freeunixer: 不是,是 port-isolate 03/21 10:05
5F:→ deadwood: ACL寫法可能每一家設備都有點差異,不過基本上應該原則 03/21 10:07
6F:→ deadwood: 都一樣,大多是分為standard 跟extend acl 03/21 10:10
7F:→ deadwood: standard 只能設定來源 extend 可以設來源跟目的 03/21 10:11
8F:→ deadwood: 設定完ACL以後要套用在port上面(分為input跟output) 03/21 10:12
9F:→ deadwood: IP的部分只要設定在ACL內就好了,switch會看封包標頭 03/21 10:13
10F:→ deadwood: 同一條ACL可以有很多條rule,但是一個port通常只能套用 03/21 10:15
11F:→ deadwood: 一個ACL,所以你必須把所有想過濾的條件寫成rule放進 03/21 10:15
12F:→ deadwood: 同一條ACL才行,由於rule先套用到的就先執行,不會往下 03/21 10:16
13F:→ deadwood: 再比對,所以自己要排好順序(用rule ID) 03/21 10:17
14F:→ deadwood: 一個原則就是IP範圍越小的放越上面 03/21 10:17
15F:→ deadwood: 3.你要自己試,理論上兩個不同功能不至於衝突 03/21 10:19
16F:→ freeunixer: 所謂先套用到,是指每個封包的比對,那一條先 match 嗎? 03/21 11:37
17F:→ deadwood: rule先match到的就先執行 03/21 13:49
18F:→ freeunixer: 那我有個問題,如果這個 port 不能連 ip1:3306, 03/21 15:38
19F:→ freeunixer: 但可以連 ip1:80, 這樣兩條都會生效對吧? 03/21 15:39
20F:→ freeunixer: 因為兩條同時間只會有一條被 match. 03/21 15:43
21F:推 seeya08: 兩條都會生效是什麼意思?照順序一條一條比對,遇到符合 03/21 17:12
22F:→ seeya08: 條件的就會轉送或丟棄,沒其他動作了 03/21 17:12
23F:→ freeunixer: 簡單說就是一條 acl 只要 ip & port 不重複就可以對吧 03/21 17:27
我設了一條測試 acl
acl 3000
rule deny icmp source 192.168.1.20 0
intface ethernet 0/0/17 (這個 port 接的 nb ip 是 192.168.1.22)
traffic-filter inbound acl 3000
然後我從 ethernet 0/0/1 的 192.168.1.20 去 ping 它,還是 ping 得到...
哪裡錯了呢?
或者,像這樣的 rule,該怎麼寫才對?
※ 編輯: freeunixer (60.250.37.178), 03/21/2019 17:59:52
24F:→ fonzae: source是這樣寫的? 0跟32? 03/21 18:44
25F:→ freeunixer: 對,華為的 netmask 寫法是反的. 03/21 18:50
26F:→ freeunixer: 但重點是,找不到在華為上寫過 acl 的人告訴我該怎麼寫 03/21 18:51
27F:→ freeunixer: 我看了一堆網頁上的說明,改了很多種寫法,都沒效... 03/21 18:51
28F:→ fonzae: 沒用過華為,想不到是反的 03/21 18:52
29F:→ fonzae: 看了一下,他的命令 03/21 19:05
31F:→ fonzae: 規則跟CISCO差不多阿 03/21 19:06
32F:推 seeya08: 因為0/0/1 in收到後,交換機處理後由0/0/17 out出去,所 03/21 20:14
33F:→ seeya08: 以不會受到限制。你的測試,acl要套用在0/0/1 in或0/0/17 03/21 20:14
34F:→ seeya08: out才會成功限制到.20的封包。 03/21 20:14
35F:推 seeya08: 另外cisco也是用wildcard寫,本來就和遮罩寫法相反 03/21 20:15
36F:→ freeunixer: 好,我明天試試 0/1/1 in, 但我發現 S3300 沒 outbound 03/21 21:43
37F:→ freeunixer: 也就是我只能套 inbound...怎麼會這樣呢? 03/21 21:43
38F:推 seeya08: L2 Switch的Port ACL只能設定在I/F的Inbound上 03/21 22:17
39F:→ freeunixer: 我用的是 adv acl,可以設 ip , port 與 protocol 的.. 03/21 23:27
40F:→ freeunixer: 我查網上的資料,是有人設 outbound,但我設的時候卻沒. 03/21 23:28
41F:推 seeya08: 和standard或extended沒關係,L2 I/F就會有只能套inbound 03/21 23:44
42F:→ seeya08: 的限制。如果你用的是L3 Switch,把I/F設定為L3 I/F就可 03/21 23:44
43F:→ seeya08: 以套在outbound了(但要看你整體的規劃和目的是什麼) 03/21 23:44
44F:→ deadwood: 用型號、軟體版本去找設定文件來看,不要漫無目的地找 03/21 23:55
45F:→ freeunixer: 華為是用 acl number 來決定它是 l2 還是 l3, 03/22 01:26
46F:→ freeunixer: 我是用 adv(l3) 的 number range 在設 acl 的. 03/22 01:26
47F:→ freeunixer: 哦~ 華為的 switch port 還有分 l2/l3 嗎?我白天查查. 03/22 01:31
48F:→ freeunixer: 成功了,把 deny destination 寫在 dest 以外的 port, 03/22 15:48
49F:→ freeunixer: 這樣 dest port 就收不到 match 的封包了. 03/22 15:49
50F:→ freeunixer: 雖然這樣有點麻煩,得在所有的 port 套,不過在找不到 03/22 15:50
51F:→ freeunixer: outbound ACL 怎麼寫以前,只好這樣先擋著用... 03/22 15:50
52F:→ freeunixer: 不過要加 rule 的話,得全部 port 先停用 acl 才能改, 03/22 15:52
53F:→ freeunixer: 是有點麻煩... 03/22 15:53
54F:→ deadwood: 沒這麼笨吧....ACL修改就直接改了,不必先停用port上的 03/22 16:43
55F:→ deadwood: 再說應該也可以一次對所有port下指令才對 03/22 16:44
56F:→ freeunixer: 我在已套用的 acl 上做修改時,會出現應用中,禁修改... 03/22 17:06
57F:→ freeunixer: 至於對所有 port 同時下設定,我要查一下華為怎麼用. 03/22 17:07
58F:→ freeunixer: 要先確定有沒這功能..這牌子的東西還挺難搞的, 03/22 17:08
59F:→ freeunixer: 每個機型、韌體版本的指令都不太一樣... 03/22 17:08