→ eric00169: 我先確認 華為所謂的port隔離是否就是vlan 03/21 09:19
→ eric00169: 因為這牌很多設定跟中文描述都滿奇怪的 03/21 09:19
→ eric00169: 如果是Vlan那跟ACL無關 03/21 09:19
→ freeunixer: 不是,是 port-isolate 03/21 10:05
→ deadwood: ACL寫法可能每一家設備都有點差異,不過基本上應該原則 03/21 10:07
→ deadwood: 都一樣,大多是分為standard 跟extend acl 03/21 10:10
→ deadwood: standard 只能設定來源 extend 可以設來源跟目的 03/21 10:11
→ deadwood: 設定完ACL以後要套用在port上面(分為input跟output) 03/21 10:12
→ deadwood: IP的部分只要設定在ACL內就好了,switch會看封包標頭 03/21 10:13
→ deadwood: 同一條ACL可以有很多條rule,但是一個port通常只能套用 03/21 10:15
→ deadwood: 一個ACL,所以你必須把所有想過濾的條件寫成rule放進 03/21 10:15
→ deadwood: 同一條ACL才行,由於rule先套用到的就先執行,不會往下 03/21 10:16
→ deadwood: 再比對,所以自己要排好順序(用rule ID) 03/21 10:17
→ deadwood: 一個原則就是IP範圍越小的放越上面 03/21 10:17
→ deadwood: 3.你要自己試,理論上兩個不同功能不至於衝突 03/21 10:19
→ freeunixer: 所謂先套用到,是指每個封包的比對,那一條先 match 嗎? 03/21 11:37
→ deadwood: rule先match到的就先執行 03/21 13:49
→ freeunixer: 那我有個問題,如果這個 port 不能連 ip1:3306, 03/21 15:38
→ freeunixer: 但可以連 ip1:80, 這樣兩條都會生效對吧? 03/21 15:39
→ freeunixer: 因為兩條同時間只會有一條被 match. 03/21 15:43
推 seeya08: 兩條都會生效是什麼意思?照順序一條一條比對,遇到符合 03/21 17:12
→ seeya08: 條件的就會轉送或丟棄,沒其他動作了 03/21 17:12
→ freeunixer: 簡單說就是一條 acl 只要 ip & port 不重複就可以對吧 03/21 17:27
我設了一條測試 acl
acl 3000
rule deny icmp source 192.168.1.20 0
intface ethernet 0/0/17 (這個 port 接的 nb ip 是 192.168.1.22)
traffic-filter inbound acl 3000
然後我從 ethernet 0/0/1 的 192.168.1.20 去 ping 它,還是 ping 得到...
哪裡錯了呢?
或者,像這樣的 rule,該怎麼寫才對?
※ 編輯: freeunixer (60.250.37.178), 03/21/2019 17:59:52
→ fonzae: source是這樣寫的? 0跟32? 03/21 18:44
→ freeunixer: 對,華為的 netmask 寫法是反的. 03/21 18:50
→ freeunixer: 但重點是,找不到在華為上寫過 acl 的人告訴我該怎麼寫 03/21 18:51
→ freeunixer: 我看了一堆網頁上的說明,改了很多種寫法,都沒效... 03/21 18:51
→ fonzae: 沒用過華為,想不到是反的 03/21 18:52
→ fonzae: 看了一下,他的命令 03/21 19:05
→ fonzae: 規則跟CISCO差不多阿 03/21 19:06
推 seeya08: 因為0/0/1 in收到後,交換機處理後由0/0/17 out出去,所 03/21 20:14
→ seeya08: 以不會受到限制。你的測試,acl要套用在0/0/1 in或0/0/17 03/21 20:14
→ seeya08: out才會成功限制到.20的封包。 03/21 20:14
推 seeya08: 另外cisco也是用wildcard寫,本來就和遮罩寫法相反 03/21 20:15
→ freeunixer: 好,我明天試試 0/1/1 in, 但我發現 S3300 沒 outbound 03/21 21:43
→ freeunixer: 也就是我只能套 inbound...怎麼會這樣呢? 03/21 21:43
推 seeya08: L2 Switch的Port ACL只能設定在I/F的Inbound上 03/21 22:17
→ freeunixer: 我用的是 adv acl,可以設 ip , port 與 protocol 的.. 03/21 23:27
→ freeunixer: 我查網上的資料,是有人設 outbound,但我設的時候卻沒. 03/21 23:28
推 seeya08: 和standard或extended沒關係,L2 I/F就會有只能套inbound 03/21 23:44
→ seeya08: 的限制。如果你用的是L3 Switch,把I/F設定為L3 I/F就可 03/21 23:44
→ seeya08: 以套在outbound了(但要看你整體的規劃和目的是什麼) 03/21 23:44
→ deadwood: 用型號、軟體版本去找設定文件來看,不要漫無目的地找 03/21 23:55
→ freeunixer: 華為是用 acl number 來決定它是 l2 還是 l3, 03/22 01:26
→ freeunixer: 我是用 adv(l3) 的 number range 在設 acl 的. 03/22 01:26
→ freeunixer: 哦~ 華為的 switch port 還有分 l2/l3 嗎?我白天查查. 03/22 01:31
→ freeunixer: 成功了,把 deny destination 寫在 dest 以外的 port, 03/22 15:48
→ freeunixer: 這樣 dest port 就收不到 match 的封包了. 03/22 15:49
→ freeunixer: 雖然這樣有點麻煩,得在所有的 port 套,不過在找不到 03/22 15:50
→ freeunixer: outbound ACL 怎麼寫以前,只好這樣先擋著用... 03/22 15:50
→ freeunixer: 不過要加 rule 的話,得全部 port 先停用 acl 才能改, 03/22 15:52
→ freeunixer: 是有點麻煩... 03/22 15:53
→ deadwood: 沒這麼笨吧....ACL修改就直接改了,不必先停用port上的 03/22 16:43
→ deadwood: 再說應該也可以一次對所有port下指令才對 03/22 16:44
→ freeunixer: 我在已套用的 acl 上做修改時,會出現應用中,禁修改... 03/22 17:06
→ freeunixer: 至於對所有 port 同時下設定,我要查一下華為怎麼用. 03/22 17:07
→ freeunixer: 要先確定有沒這功能..這牌子的東西還挺難搞的, 03/22 17:08
→ freeunixer: 每個機型、韌體版本的指令都不太一樣... 03/22 17:08