PTT職涯區 / MIS (IT資訊人員)

[請益] 華為交換器的 acl

看板MIS (IT資訊人員)作者 (離自相空她相)時間5年前 (2019/03/20 18:17), 5年前編輯推噓5(5054)
留言59則, 5人參與, 5年前最新討論串1/1
想問板上有沒有常碰華為交換器的,我想請問幾個關於 acl 的問題. 如果單純只是用 port isolate,只能隔開 port isolate 之間的 port, 但如果我是想讓 port 與 port 之間,有 allow 的 protocol 必須要用 adv ACL, 要設來源或還有目的 ip, 1. 這個 ip 段一定要先設在機器上嗎? 如果接在不定 port 的 client 是 public ip 可以直接寫 rule permit/deny source .. destination .. 就好嗎? 2. 一則 acl 只會抓第一個符合的 rule 就 end, 那麼我可以在某個 port 套用兩個或以上的 acl 嗎? 3. 如果某個 port 開了 isolate,是不是就無法 permit 其它 in 或 out 的 acl? -- 讀者審校網試行版(2018/1/1 更新網址) http://readerreviewnet.processoroverload.net/ (哲、史、法、政、經、社,人文翻譯書籍錯譯提報網) ◎洪蘭"毀人不倦"舉報專區 http://tinyurl.com/ybfmzwne 讀者需自救,有錯自己改... --
03/21 09:19, 5年前 , 1F
我先確認 華為所謂的port隔離是否就是vlan
03/21 09:19, 1F
03/21 09:19, 5年前 , 2F
因為這牌很多設定跟中文描述都滿奇怪的
03/21 09:19, 2F
03/21 09:19, 5年前 , 3F
如果是Vlan那跟ACL無關
03/21 09:19, 3F
03/21 10:05, 5年前 , 4F
不是,是 port-isolate
03/21 10:05, 4F
03/21 10:07, 5年前 , 5F
ACL寫法可能每一家設備都有點差異,不過基本上應該原則
03/21 10:07, 5F
03/21 10:10, 5年前 , 6F
都一樣,大多是分為standard 跟extend acl
03/21 10:10, 6F
03/21 10:11, 5年前 , 7F
standard 只能設定來源 extend 可以設來源跟目的
03/21 10:11, 7F
03/21 10:12, 5年前 , 8F
設定完ACL以後要套用在port上面(分為input跟output)
03/21 10:12, 8F
03/21 10:13, 5年前 , 9F
IP的部分只要設定在ACL內就好了,switch會看封包標頭
03/21 10:13, 9F
03/21 10:15, 5年前 , 10F
同一條ACL可以有很多條rule,但是一個port通常只能套用
03/21 10:15, 10F
03/21 10:15, 5年前 , 11F
一個ACL,所以你必須把所有想過濾的條件寫成rule放進
03/21 10:15, 11F
03/21 10:16, 5年前 , 12F
同一條ACL才行,由於rule先套用到的就先執行,不會往下
03/21 10:16, 12F
03/21 10:17, 5年前 , 13F
再比對,所以自己要排好順序(用rule ID)
03/21 10:17, 13F
03/21 10:17, 5年前 , 14F
一個原則就是IP範圍越小的放越上面
03/21 10:17, 14F
03/21 10:19, 5年前 , 15F
3.你要自己試,理論上兩個不同功能不至於衝突
03/21 10:19, 15F
03/21 11:37, 5年前 , 16F
所謂先套用到,是指每個封包的比對,那一條先 match 嗎?
03/21 11:37, 16F
03/21 13:49, 5年前 , 17F
rule先match到的就先執行
03/21 13:49, 17F
03/21 15:38, 5年前 , 18F
那我有個問題,如果這個 port 不能連 ip1:3306,
03/21 15:38, 18F
03/21 15:39, 5年前 , 19F
但可以連 ip1:80, 這樣兩條都會生效對吧?
03/21 15:39, 19F
03/21 15:43, 5年前 , 20F
因為兩條同時間只會有一條被 match.
03/21 15:43, 20F
03/21 17:12, 5年前 , 21F
兩條都會生效是什麼意思?照順序一條一條比對,遇到符合
03/21 17:12, 21F
03/21 17:12, 5年前 , 22F
條件的就會轉送或丟棄,沒其他動作了
03/21 17:12, 22F
03/21 17:27, 5年前 , 23F
簡單說就是一條 acl 只要 ip & port 不重複就可以對吧
03/21 17:27, 23F
我設了一條測試 acl acl 3000 rule deny icmp source 192.168.1.20 0 intface ethernet 0/0/17 (這個 port 接的 nb ip 是 192.168.1.22) traffic-filter inbound acl 3000 然後我從 ethernet 0/0/1 的 192.168.1.20 去 ping 它,還是 ping 得到... 哪裡錯了呢? 或者,像這樣的 rule,該怎麼寫才對? ※ 編輯: freeunixer (60.250.37.178), 03/21/2019 17:59:52
03/21 18:44, 5年前 , 24F
source是這樣寫的? 0跟32?
03/21 18:44, 24F
03/21 18:50, 5年前 , 25F
對,華為的 netmask 寫法是反的.
03/21 18:50, 25F
03/21 18:51, 5年前 , 26F
但重點是,找不到在華為上寫過 acl 的人告訴我該怎麼寫
03/21 18:51, 26F
03/21 18:51, 5年前 , 27F
我看了一堆網頁上的說明,改了很多種寫法,都沒效...
03/21 18:51, 27F
03/21 18:52, 5年前 , 28F
沒用過華為,想不到是反的
03/21 18:52, 28F
03/21 19:05, 5年前 , 29F
看了一下,他的命令
03/21 19:05, 29F
03/21 19:05, 5年前 , 30F
03/21 19:05, 30F
03/21 19:06, 5年前 , 31F
規則跟CISCO差不多阿
03/21 19:06, 31F
03/21 20:14, 5年前 , 32F
因為0/0/1 in收到後,交換機處理後由0/0/17 out出去,所
03/21 20:14, 32F
03/21 20:14, 5年前 , 33F
以不會受到限制。你的測試,acl要套用在0/0/1 in或0/0/17
03/21 20:14, 33F
03/21 20:14, 5年前 , 34F
out才會成功限制到.20的封包。
03/21 20:14, 34F
03/21 20:15, 5年前 , 35F
另外cisco也是用wildcard寫,本來就和遮罩寫法相反
03/21 20:15, 35F
03/21 21:43, 5年前 , 36F
好,我明天試試 0/1/1 in, 但我發現 S3300 沒 outbound
03/21 21:43, 36F
03/21 21:43, 5年前 , 37F
也就是我只能套 inbound...怎麼會這樣呢?
03/21 21:43, 37F
03/21 22:17, 5年前 , 38F
L2 Switch的Port ACL只能設定在I/F的Inbound上
03/21 22:17, 38F
03/21 23:27, 5年前 , 39F
我用的是 adv acl,可以設 ip , port 與 protocol 的..
03/21 23:27, 39F
03/21 23:28, 5年前 , 40F
我查網上的資料,是有人設 outbound,但我設的時候卻沒.
03/21 23:28, 40F
03/21 23:44, 5年前 , 41F
和standard或extended沒關係,L2 I/F就會有只能套inbound
03/21 23:44, 41F
03/21 23:44, 5年前 , 42F
的限制。如果你用的是L3 Switch,把I/F設定為L3 I/F就可
03/21 23:44, 42F
03/21 23:44, 5年前 , 43F
以套在outbound了(但要看你整體的規劃和目的是什麼)
03/21 23:44, 43F
03/21 23:55, 5年前 , 44F
用型號、軟體版本去找設定文件來看,不要漫無目的地找
03/21 23:55, 44F
03/22 01:26, 5年前 , 45F
華為是用 acl number 來決定它是 l2 還是 l3,
03/22 01:26, 45F
03/22 01:26, 5年前 , 46F
我是用 adv(l3) 的 number range 在設 acl 的.
03/22 01:26, 46F
03/22 01:31, 5年前 , 47F
哦~ 華為的 switch port 還有分 l2/l3 嗎?我白天查查.
03/22 01:31, 47F
03/22 15:48, 5年前 , 48F
成功了,把 deny destination 寫在 dest 以外的 port,
03/22 15:48, 48F
03/22 15:49, 5年前 , 49F
這樣 dest port 就收不到 match 的封包了.
03/22 15:49, 49F
03/22 15:50, 5年前 , 50F
雖然這樣有點麻煩,得在所有的 port 套,不過在找不到
03/22 15:50, 50F
03/22 15:50, 5年前 , 51F
outbound ACL 怎麼寫以前,只好這樣先擋著用...
03/22 15:50, 51F
03/22 15:52, 5年前 , 52F
不過要加 rule 的話,得全部 port 先停用 acl 才能改,
03/22 15:52, 52F
03/22 15:53, 5年前 , 53F
是有點麻煩...
03/22 15:53, 53F
03/22 16:43, 5年前 , 54F
沒這麼笨吧....ACL修改就直接改了,不必先停用port上的
03/22 16:43, 54F
03/22 16:44, 5年前 , 55F
再說應該也可以一次對所有port下指令才對
03/22 16:44, 55F
03/22 17:06, 5年前 , 56F
我在已套用的 acl 上做修改時,會出現應用中,禁修改...
03/22 17:06, 56F
03/22 17:07, 5年前 , 57F
至於對所有 port 同時下設定,我要查一下華為怎麼用.
03/22 17:07, 57F
03/22 17:08, 5年前 , 58F
要先確定有沒這功能..這牌子的東西還挺難搞的,
03/22 17:08, 58F
03/22 17:08, 5年前 , 59F
每個機型、韌體版本的指令都不太一樣...
03/22 17:08, 59F
更多 freeunixer 的文章
文章代碼(AID): #1SaXCodJ (MIS)
MIS 近期熱門文章
更多 近期熱門文章 >>
PTT職涯區 即時熱門文章
更多 即時熱門文章 >>
更多 freeunixer 的文章
文章代碼(AID): #1SaXCodJ (MIS)