[請益] 華為交換器的 acl

作者freeunixer (離自相空她相)

看板MIS

標題[請益] 華為交換器的 acl

時間Wed Mar 20 18:17:19 2019

想問板上有沒有常碰華為交換器的,我想請問幾個關於 acl 的問題. 如果單純只是用 port isolate,只能隔開 port isolate 之間的 port, 但如果我是想讓 port 與 port 之間,有 allow 的 protocol 必須要用 adv ACL, 要設來源或還有目的 ip, 1. 這個 ip 段一定要先設在機器上嗎? 如果接在不定 port 的 client 是 public ip 可以直接寫 rule permit/deny source .. destination .. 就好嗎? 2. 一則 acl 只會抓第一個符合的 rule 就 end, 那麼我可以在某個 port 套用兩個或以上的 acl 嗎? 3. 如果某個 port 開了 isolate,是不是就無法 permit 其它 in 或 out 的 acl? -- 讀者審校網試行版(2018/1/1 更新網址) http://readerreviewnet.processoroverload.net/ (哲、史、法、政、經、社，人文翻譯書籍錯譯提報網) ◎洪蘭"毀人不倦"舉報專區 http://tinyurl.com/ybfmzwne 讀者需自救，有錯自己改... --

→ eric00169: 我先確認華為所謂的port隔離是否就是vlan 03/21 09:19

→ eric00169: 因為這牌很多設定跟中文描述都滿奇怪的 03/21 09:19

→ eric00169: 如果是Vlan那跟ACL無關 03/21 09:19

→ freeunixer: 不是,是 port-isolate 03/21 10:05

→ deadwood: ACL寫法可能每一家設備都有點差異，不過基本上應該原則 03/21 10:07

→ deadwood: 都一樣，大多是分為standard 跟extend acl 03/21 10:10

→ deadwood: standard 只能設定來源 extend 可以設來源跟目的 03/21 10:11

→ deadwood: 設定完ACL以後要套用在port上面(分為input跟output) 03/21 10:12

→ deadwood: IP的部分只要設定在ACL內就好了，switch會看封包標頭 03/21 10:13

→ deadwood: 同一條ACL可以有很多條rule，但是一個port通常只能套用 03/21 10:15

→ deadwood: 一個ACL，所以你必須把所有想過濾的條件寫成rule放進 03/21 10:15

→ deadwood: 同一條ACL才行，由於rule先套用到的就先執行，不會往下 03/21 10:16

→ deadwood: 再比對，所以自己要排好順序(用rule ID) 03/21 10:17

→ deadwood: 一個原則就是IP範圍越小的放越上面 03/21 10:17

→ deadwood: 3.你要自己試，理論上兩個不同功能不至於衝突 03/21 10:19

→ freeunixer: 所謂先套用到,是指每個封包的比對,那一條先 match 嗎? 03/21 11:37

→ deadwood: rule先match到的就先執行 03/21 13:49

→ freeunixer: 那我有個問題,如果這個 port 不能連 ip1:3306, 03/21 15:38

→ freeunixer: 但可以連 ip1:80, 這樣兩條都會生效對吧? 03/21 15:39

→ freeunixer: 因為兩條同時間只會有一條被 match. 03/21 15:43

推 seeya08: 兩條都會生效是什麼意思？照順序一條一條比對，遇到符合 03/21 17:12

→ seeya08: 條件的就會轉送或丟棄，沒其他動作了 03/21 17:12

→ freeunixer: 簡單說就是一條 acl 只要 ip & port 不重複就可以對吧 03/21 17:27

我設了一條測試 acl acl 3000 rule deny icmp source 192.168.1.20 0 intface ethernet 0/0/17 (這個 port 接的 nb ip 是 192.168.1.22) traffic-filter inbound acl 3000 然後我從 ethernet 0/0/1 的 192.168.1.20 去 ping 它,還是 ping 得到... 哪裡錯了呢? 或者,像這樣的 rule,該怎麼寫才對? ※ 編輯: freeunixer (60.250.37.178), 03/21/2019 17:59:52

→ fonzae: source是這樣寫的? 0跟32? 03/21 18:44

→ freeunixer: 對,華為的 netmask 寫法是反的. 03/21 18:50

→ freeunixer: 但重點是,找不到在華為上寫過 acl 的人告訴我該怎麼寫 03/21 18:51

→ freeunixer: 我看了一堆網頁上的說明,改了很多種寫法,都沒效... 03/21 18:51

→ fonzae: 沒用過華為,想不到是反的 03/21 18:52

→ fonzae: 看了一下,他的命令 03/21 19:05

→ fonzae: https://reurl.cc/xay9z 03/21 19:05

→ fonzae: 規則跟CISCO差不多阿 03/21 19:06

推 seeya08: 因為0/0/1 in收到後，交換機處理後由0/0/17 out出去，所 03/21 20:14

→ seeya08: 以不會受到限制。你的測試，acl要套用在0/0/1 in或0/0/17 03/21 20:14

→ seeya08: out才會成功限制到.20的封包。 03/21 20:14

推 seeya08: 另外cisco也是用wildcard寫，本來就和遮罩寫法相反 03/21 20:15

→ freeunixer: 好,我明天試試 0/1/1 in, 但我發現 S3300 沒 outbound 03/21 21:43

→ freeunixer: 也就是我只能套 inbound...怎麼會這樣呢? 03/21 21:43

推 seeya08: L2 Switch的Port ACL只能設定在I/F的Inbound上 03/21 22:17

→ freeunixer: 我用的是 adv acl,可以設 ip , port 與 protocol 的.. 03/21 23:27

→ freeunixer: 我查網上的資料,是有人設 outbound,但我設的時候卻沒. 03/21 23:28

推 seeya08: 和standard或extended沒關係，L2 I/F就會有只能套inbound 03/21 23:44

→ seeya08: 的限制。如果你用的是L3 Switch，把I/F設定為L3 I/F就可 03/21 23:44

→ seeya08: 以套在outbound了(但要看你整體的規劃和目的是什麼) 03/21 23:44

→ deadwood: 用型號、軟體版本去找設定文件來看，不要漫無目的地找 03/21 23:55

→ freeunixer: 華為是用 acl number 來決定它是 l2 還是 l3, 03/22 01:26

→ freeunixer: 我是用 adv(l3) 的 number range 在設 acl 的. 03/22 01:26

→ freeunixer: 哦~ 華為的 switch port 還有分 l2/l3 嗎?我白天查查. 03/22 01:31

→ freeunixer: 成功了,把 deny destination 寫在 dest 以外的 port, 03/22 15:48

→ freeunixer: 這樣 dest port 就收不到 match 的封包了. 03/22 15:49

→ freeunixer: 雖然這樣有點麻煩,得在所有的 port 套,不過在找不到 03/22 15:50

→ freeunixer: outbound ACL 怎麼寫以前,只好這樣先擋著用... 03/22 15:50

→ freeunixer: 不過要加 rule 的話,得全部 port 先停用 acl 才能改, 03/22 15:52

→ freeunixer: 是有點麻煩... 03/22 15:53

→ deadwood: 沒這麼笨吧....ACL修改就直接改了，不必先停用port上的 03/22 16:43

→ deadwood: 再說應該也可以一次對所有port下指令才對 03/22 16:44

→ freeunixer: 我在已套用的 acl 上做修改時,會出現應用中,禁修改... 03/22 17:06

→ freeunixer: 至於對所有 port 同時下設定,我要查一下華為怎麼用. 03/22 17:07

→ freeunixer: 要先確定有沒這功能..這牌子的東西還挺難搞的, 03/22 17:08

→ freeunixer: 每個機型、韌體版本的指令都不太一樣... 03/22 17:08