華為交換機(jī)Vlan間訪問(wèn)控制配置案例

1、華為交換機(jī)Vian間訪問(wèn)控制配置案例華為交換機(jī)ACL/QOS調(diào)用ACL配置案例1 ACL概述隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和流量的增加，對(duì)網(wǎng)絡(luò)安全的控制和對(duì)帶寬的分配成為網(wǎng)絡(luò)管理的重要內(nèi)容。 通過(guò)對(duì)報(bào)文進(jìn)行過(guò)濾，可以有效防止非法用戶對(duì)網(wǎng)絡(luò)的訪問(wèn)，同時(shí)也可以控制流量，節(jié)約網(wǎng)絡(luò)資源。ACL（ Access Control List，訪問(wèn)控制列表）即是通過(guò)配置對(duì)報(bào)文的匹配規(guī)則和處理操作來(lái)實(shí)現(xiàn)包 過(guò)濾的功能。MAC地ACL通過(guò)一系列的匹配條件對(duì)報(bào)文進(jìn)行分類，這些條件可以是報(bào)文的源MAC地址、目的址、源IP地址、目的IP地址、端口號(hào)等。2案例背景網(wǎng)絡(luò)環(huán)境拓?fù)淙缦拢蛻舳私尤虢粨Q機(jī)約有幾十個(gè)，所有設(shè)備均采用靜態(tài)IP）

2、服務(wù)器區(qū)Ethernet 0/0/0Ethernet 0/0/2Ethernet 0/0/0Ethernet O/OHC3700GE 0/0/0CLIENT2 Ethe服務(wù)器接入交換機(jī)GLIENT1iGE (W1GE O/OMGE D/0J2Ethernet O/OflEthernet 0/0/1客戶端接入交換機(jī)C3700LSW5hemet O/Q/2hemet 0/Q/1Ethernet 0/0/1核心交換機(jī)客戶端區(qū)LSW4fehemet 0/0/2 fcthemet 0/0/1SW1ElkSWpO/O/2GE C/Q/3E那Fthemfet 0/0/1CLIENT4CLIENTSCLIEN

3、TSCIS KE 二服務(wù)器區(qū)所有服務(wù)器網(wǎng)關(guān)均在核心交換機(jī)上，共有9個(gè)Vian , 9個(gè)網(wǎng)段分別如下；Via n10-Vla nil 網(wǎng)段分別為 10.0.10.0/24-10.0.11.0/24Vian14-Vlan19 網(wǎng)段分別為 10.0.14.0/24-10.0.19.0/24交換機(jī)管理Vian為Vian1: 10.0.13.0/24，核心交換機(jī)的管理ip為10.0.13.254，其余接入交換機(jī)網(wǎng)關(guān)均在核 心交換機(jī)上；客戶端共有 8個(gè)Vian，分別為 Vian20-Vian100，網(wǎng)段分別為10.0.20.0/24-10.0.100.0/24，網(wǎng)關(guān)均在核心交換機(jī)上；3需求一：對(duì)服務(wù)器區(qū)服

4、務(wù)器做安全防護(hù)，只允許客戶端訪問(wèn)服務(wù)器某些端口由于網(wǎng)絡(luò)環(huán)境拓?fù)錇?客戶端一-戶端接入交換機(jī)一-亥心交換機(jī)一-火墻一-艮務(wù)器接入交換機(jī)一-艮務(wù)器, 也即客戶端訪問(wèn)服務(wù)器需要通過(guò)防火墻， 所以對(duì)服務(wù)器的防護(hù)應(yīng)該放到防火墻上來(lái)做， 因?yàn)槿粲媒粨Q機(jī)來(lái)做過(guò) 濾，配置麻煩且失去了防火墻應(yīng)有的作用（此處不做防火墻配置介紹）；4需求二：交換機(jī)只允許固定管理員通過(guò)ssh登陸此處做防護(hù)有較為方便的倆種方法一：在所有交換機(jī)配置 VTY時(shí)，調(diào)用ACL只允許源為網(wǎng)絡(luò)管理員的IP訪問(wèn)，但此方法雖配置不復(fù)雜，但是配 置工作量較大需要在所有交換機(jī)上配置，而且不靈活例如在網(wǎng)絡(luò)管理員人員或者IP變遷時(shí)，需要重新修改所有交換機(jī)AC

5、L，所以并不是首選方案；二：因?yàn)楣芾斫粨Q機(jī)管理 Vian與所有客戶端 Vian不在同一 Vian，也即客戶端訪問(wèn)接入交換機(jī)必須通過(guò)核心 交換機(jī)，所以可以在核心交換機(jī)上做ACL來(lái)控制客戶端訪對(duì)接入交換機(jī)的訪問(wèn)，核心交換機(jī)的訪問(wèn)通過(guò)VTY來(lái)調(diào)用ACL；配置部分在下面；5需求三：客戶端VLAN之間不能互相訪問(wèn)，客戶端只允許訪問(wèn)服務(wù)器VLAN一：在核心交換機(jī)上的所有鏈接客戶端接入交換機(jī)端口做ACL，只放行訪問(wèn)服務(wù)器的流量，拒絕其余流量，但由于客戶端接入交換機(jī)約有幾十臺(tái)，所以配置工作量大幾十個(gè)端口都需要配置，所以也不是首選方案；二：在核心交換機(jī)上的客戶端Vian做Acl，只放行訪問(wèn)服務(wù)器的流量，拒絕其余

6、流量，由于客戶端Vian共有8個(gè)所以相對(duì)于在物理接口上做ACL而言，工作量較小，所以選擇此方案；6配置部分6.1 ACL配置部分aci number 2000rule 5 permit source 10.0.20.11 0rule 10 permit source 10.0.21.15 0rule 15 deny/定義允許訪問(wèn)核心交換機(jī)的倆位網(wǎng)絡(luò)管理員IP地址；acl number 3000rule51 permitip destination10.0.10.00.0.0.255rule53 permitip destination10.0.12.00.0.0.255rule55 permi

7、tip destination10.0.14.00.0.0.255rule56 permitip destination10.0.15.00.0.0.255rule57 permitip destination10.0.16.00.0.0.255rule58 permitip destination10.0.17.00.0.0.255rule59 permitip destination10.0.18.00.0.0.255rule60 permitip destination10.0.19.00.0.0.255/定義所有客戶端只允許訪問(wèn)服務(wù)器Vianrule 71 permit tcp sou

8、rce 10.0.20.11 0 destination 10.0.13.0 0.0.0.255 destination-porteq 22 rule 72 permit tcp source 10.0.21.15 0 destination 10.0.13.0 0.0.0.255 destination-port eq 22/定義允許訪問(wèn)核心交換機(jī)的tcp22端口（即SSH）的倆位網(wǎng)絡(luò)管理員IP;acl number 3100rule 5 permit ip/拒絕除允許網(wǎng)段外的其余所有流量/由于此處的acl3000及3100是給下面的QOS做調(diào)用的，所以此處的permit或deny不起作用，

9、隨意設(shè)置即 可；6.2 Qos調(diào)用部分traffic classifier 3000 operator or precede nee 5if-match acl 3000/ 定義名為classifier 3000的流分類，并調(diào)用 ACL3000traffic classifier 3100 operator or precede nee 10if-match acl 3100/ 定義名為classifier 3100的流分類，并調(diào)用 ACL3100/定義流分類traffic behavior 3000permit/定義名為behavior 3000的流行為，并賦予允許值traffic beha

10、vior 3100deny/定義名為behavior 3100的流行為，并賦予拒絕值/定義流行為/上面ACL的允許或拒絕不起作用，通過(guò)此處來(lái)定義拒絕或允許traffic policy 634aclclassifier 3000 behavior 3000classifier 3100 behavior 3100/定義名為policy 634acl流策略，并將 classifier 3000流分類與behavior 3000流行為關(guān)聯(lián)，以及 classifier3100流分類與behavior 3100流行為關(guān)聯(lián)（注意：允許在前，拒絕在后）；vlan 20description kjfzb jimitraffic-policy 634acl inbound/依次登錄客戶端Vlan應(yīng)用流策略至此完成了所有客戶端Vlan之間不能互訪，以及除網(wǎng)絡(luò)管理員之外不能訪問(wèn)接入交換機(jī)管理網(wǎng)段的訪問(wèn)控制；use