想问板上有没有常碰华为交换器的,我想请问几个关于 acl 的问题.
如果单纯只是用 port isolate,只能隔开 port isolate 之间的 port,
但如果我是想让 port 与 port 之间,有 allow 的 protocol
必须要用 adv ACL, 要设来源或还有目的 ip,
1.
这个 ip 段一定要先设在机器上吗?
如果接在不定 port 的 client 是 public ip
可以直接写 rule permit/deny source .. destination .. 就好吗?
2.
一则 acl 只会抓第一个符合的 rule 就 end,
那么我可以在某个 port 套用两个或以上的 acl 吗?
3.
如果某个 port 开了 isolate,是不是就无法 permit 其它 in 或 out 的 acl?
我先确认 华为所谓的port隔离是否就是vlan因为这牌很多设定跟中文描述都满奇怪的如果是Vlan那跟ACL无关
ACL写法可能每一家设备都有点差异,不过基本上应该原则都一样,大多是分为standard 跟extend aclstandard 只能设定来源 extend 可以设来源跟目的设定完ACL以后要套用在port上面(分为input跟output)IP的部分只要设定在ACL内就好了,switch会看封包标头同一条ACL可以有很多条rule,但是一个port通常只能套用一个ACL,所以你必须把所有想过滤的条件写成rule放进同一条ACL才行,由于rule先套用到的就先执行,不会往下再比对,所以自己要排好顺序(用rule ID)一个原则就是IP范围越小的放越上面3.你要自己试,理论上两个不同功能不至于冲突
所谓先套用到,是指每个封包的比对,那一条先 match 吗?
那我有个问题,如果这个 port 不能连 ip1:3306,但可以连 ip1:80, 这样两条都会生效对吧?因为两条同时间只会有一条被 match.
作者:
seeya08 (终极动员令)
2019-03-21 17:12:00两条都会生效是什么意思?照顺序一条一条比对,遇到符合条件的就会转送或丢弃,没其他动作了
简单说就是一条 acl 只要 ip & port 不重复就可以对吧
作者: fonzae (fonzae) 2019-03-21 18:44:00
source是这样写的? 0跟32?
对,华为的 netmask 写法是反的.但重点是,找不到在华为上写过 acl 的人告诉我该怎么写我看了一堆网页上的说明,改了很多种写法,都没效...
作者:
seeya08 (终极动员令)
2019-03-21 20:14:00因为0/0/1 in收到后,交换机处理后由0/0/17 out出去,所以不会受到限制。你的测试,acl要套用在0/0/1 in或0/0/17out才会成功限制到.20的封包。另外cisco也是用wildcard写,本来就和遮罩写法相反
好,我明天试试 0/1/1 in, 但我发现 S3300 没 outbound也就是我只能套 inbound...怎么会这样呢?
作者:
seeya08 (终极动员令)
2019-03-21 22:17:00L2 Switch的Port ACL只能设定在I/F的Inbound上
我用的是 adv acl,可以设 ip , port 与 protocol 的..我查网上的资料,是有人设 outbound,但我设的时候却没.
作者:
seeya08 (终极动员令)
2019-03-21 23:44:00和standard或extended没关系,L2 I/F就会有只能套inbound的限制。如果你用的是L3 Switch,把I/F设定为L3 I/F就可以套在outbound了(但要看你整体的规划和目的是什么)
用型号、软件版本去找设定文件来看,不要漫无目的地找
华为是用 acl number 来决定它是 l2 还是 l3,我是用 adv(l3) 的 number range 在设 acl 的.哦~ 华为的 switch port 还有分 l2/l3 吗?我白天查查.
没这么笨吧....ACL修改就直接改了,不必先停用port上的再说应该也可以一次对所有port下指令才对
我在已套用的 acl 上做修改时,会出现应用中,禁修改...至于对所有 port 同时下设定,我要查一下华为怎么用.要先确定有没这功能..这牌子的东西还挺难搞的,每个机型、韧体版本的指令都不太一样...