《2022年2022年华为交换机Vlan间访问控制配置案例》由会员分享,可在线阅读,更多相关《2022年2022年华为交换机Vlan间访问控制配置案例(5页珍藏版)》请在金锄头文库上搜索。
1、华为交换机Vlan 间访问控制配置案例华为交换机ACL/QOS 调用 ACL配置案例1 ACL概述随着网络规模的扩大和流量的增加,对网络安全的控制和对带宽的分配成为网络管理的重要内容。通过对报文进行过滤,可以有效防止非法用户对网络的访问,同时也可以控制流量,节约网络资源。ACL(Access ControlList,访问控制列表)即是通过配置对报文的匹配规则和处理操作来实现包过滤的功能。ACL 通过一系列的匹配条件对报文进行分类,这些条件可以是报文的源MAC 地址、目的MAC 地址、源IP 地址、目的IP 地址、端口号等。2 案例背景网络环境拓扑如下(客户端接入交换机约有几十个,所有设备均采用
2、静态IP)名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 5 页 - - - - - - - - - 服务器区所有服务器网关均在核心交换机上,共有9 个 Vlan,9 个网段分别如下;Vlan10-Vlan11 网段分别为10.0.10.0/24-10.0.11.0/24Vlan14-Vlan19 网段分别为10.0.14.0/24-10.0.19.0/24交换机管理Vlan 为 Vlan1: 10.0.13.0/24,核心交换机的管理ip 为 10.0.13.254 ,
3、其余接入交换机网关均在核心交换机上;客户端共有8 个 Vlan,分别为 Vlan20-Vlan100 ,网段分别为10.0.20.0/24-10.0.100.0/24,网关均在核心交换机上;3 需求一:对服务器区服务器做安全防护,只允许客户端访问服务器某些端口由于网络环境拓扑为客户端 客户端接入交换机 核心交换机 防火墙 服务器接入交换机 服务器,也即客户端访问服务器需要通过防火墙,所以对服务器的防护应该放到防火墙上来做,因为若用交换机来做过滤,配置麻烦且失去了防火墙应有的作用(此处不做防火墙配置介绍);名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - -
4、- - - - - - 名师精心整理 - - - - - - - 第 2 页,共 5 页 - - - - - - - - - 4 需求二:交换机只允许固定管理员通过ssh登陆此处做防护有较为方便的俩种方法一:在所有交换机配置VTY 时,调用 ACL只允许源为网络管理员的IP访问,但此方法虽配置不复杂,但是配置工作量较大需要在所有交换机上配置,而且不灵活例如在网络管理员人员或者IP 变迁时,需要重新修改所有交换机 ACL,所以并不是首选方案;二:因为管理交换机管理Vlan 与所有客户端Vlan 不在同一 Vlan,也即客户端访问接入交换机必须通过核心交换机,所以可以在核心交换机上做ACL来控制客
5、户端访对接入交换机的访问,核心交换机的访问通过VTY来调用 ACL;配置部分在下面;5 需求三:客户端VLAN之间不能互相访问,客户端只允许访问服务器VLAN一:在核心交换机上的所有链接客户端接入交换机端口做ACL,只放行访问服务器的流量,拒绝其余流量,但由于客户端接入交换机约有几十台,所以配置工作量大几十个端口都需要配置,所以也不是首选方案;二:在核心交换机上的客户端Vlan 做 Acl,只放行访问服务器的流量,拒绝其余流量,由于客户端Vlan 共有8 个所以相对于在物理接口上做ACL 而言,工作量较小,所以选择此方案;6 配置部分6.1 ACL配置部分acl number 2000rule
6、 5 permitsource 10.0.20.110rule 10 permitsource 10.0.21.150rule 15 deny/ 定义允许访问核心交换机的俩位网络管理员IP 地址;acl number 3000rule 51 permitip destination10.0.10.00.0.0.255rule 53 permitip destination10.0.12.00.0.0.255rule 55 permitip destination10.0.14.00.0.0.255rule 56 permitip destination10.0.15.00.0.0.255rul
7、e 57 permitip destination10.0.16.00.0.0.255rule 58 permitip destination10.0.17.00.0.0.255rule 59 permitip destination10.0.18.00.0.0.255rule 60 permitip destination10.0.19.00.0.0.255/ 定义所有客户端只允许访问服务器Vlanrule 71 permittcp source 10.0.20.110 destination10.0.13.00.0.0.255destination-porteq 22rule 72 per
8、mittcp source 10.0.21.150 destination10.0.13.00.0.0.255destination-porteq 22名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 5 页 - - - - - - - - - / 定义允许访问核心交换机的tcp22 端口(即 SSH )的俩位网络管理员IP;acl number 3100rule 5 permitip/ 拒绝除允许网段外的其余所有流量/ 由于此处的 acl3000 及 3100 是给下面的
9、QOS做调用的, 所以此处的 permit或 deny 不起作用, 随意设置即可;6.2 Qos调用部分trafficclassifier3000 operatoror precedence5if-matchacl 3000/定义名为 classifier3000 的流分类,并调用ACL3000trafficclassifier3100 operatoror precedence10if-matchacl 3100/定义名为 classifier3100 的流分类,并调用ACL3100/ 定义流分类trafficbehavior 3000permit/ 定义名为 behavior 3000 的
10、流行为,并赋予允许值trafficbehavior 3100deny/ 定义名为 behavior 3100 的流行为,并赋予拒绝值/ 定义流行为/ 上面 ACL 的允许或拒绝不起作用,通过此处来定义拒绝或允许trafficpolicy 634aclclassifier3000 behavior 3000classifier3100 behavior 3100/ 定义名为 policy 634acl 流策略,并将classifier3000 流分类与 behavior 3000 流行为关联,以及classifier3100 流分类与 behavior 3100 流行为关联(注意:允许在前,拒绝
11、在后);vlan 20descriptionkjfzb jimitraffic-policy634acl inbound/ 依次登录客户端Vlan 应用流策略至此完成了所有客户端Vlan 之间不能互访, 以及除网络管理员之外不能访问接入交换机管理网段的访问控制;user-interfacevty 0 4acl 2000 inbound名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 5 页 - - - - - - - - - / 在 vty 界面中调用Acl2000 ,即只允许俩网络管理员登录;authentication-modeaaauser privilegelevel 3protocolinbound ssh/ 至此完成了只允许网络管理员登录核心交换机的访问控制;名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 5 页 - - - - - - - - -
