需求:
4、wifi不能访问内外
5、服务器针对80开放,服务只能上外网
6、所有IP不能访问财务部,但财务部可以访问内网和外网
7、内网通过访问域名到服务器业务
网络拓扑:
中心思想:
1、流量的方向
流量是要一去一回的,2个方向,方向的选择需要根据需求定,去方向控制自己能干嘛,回方向控制别人能干嘛
2、节点
一个接口一个节点,节点之间作用范围不一样
3、应用到哪个节点上
满足需求情况下,离自己主机越近的节点
4、需求控制方向
a、单方向(控制自己)=流量去方向
b、双方向(控制别人)=流量回方向
需求4:
wifi不能访问内外(单方向)
去方向,节点最近的
LSW8交换机上配置
禁止访问内网
注意这里rule 10 要保留可扩展性,防止后面再添加需求
应用到接口,2个节点
acl 3000
rule 10 deny ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
a、节点
interface Ethernet0/0/1
traffic-filter outbound acl 3000
b、节点
interface Ethernet0/0/2
traffic-filter intbound acl 3000
a节点只能满足一个IP的规则,不能满足整个网段
b节点和c节点都能满足,选择离PC最近的节点
后续会讲到基础架构理解,核心是尽量不要配置控制协议
需求5:
服务器针对80开放(双方向)
ACL 3000
rule 10 permit tcp destination 192.168.1.10 0 destination-port eq ftp
rule 20 deny ip
interface Ethernet0/0/1
traffic-filter inbound acl 3000
测试下来,模拟器无法做ACL针对服务器端口,实体机是可以实现的,测试可以换成IP协议,针对IP限定,就可以看到效果
需求6:
所有IP不能访问财务部,但财务部可以访问内网
略。。。
需求7:
配置在代理的路由器上,只有配置了代理模式才能生效
作用:
类似本机的hosts文件,玩法很多
1、可以根据需求禁止掉网站,不给访问
2、针对内网服务器应用可以启用域名访问,服务器IP地址变动只需要路由器更改即可
头脑中的问题:
1、同一网段的2个接口可以做ACL控制访问吗?
2、ACL可以根据MAC地址做策略吗?
3、二层接口可以根据IP地址做策略,三层接口是否支持MAC地址来控制访问?
2019/09/12更新
实战第二周
Sunday, May 5, 2019
9:39 PM
第二周问题:
1、同一网段的2个接口可以做ACL控制访问吗?
可以
2、ACL可以根据MAC地址做策略吗?
可以
3、二层接口可以根据IP地址做策略,三层接口是否支持MAC地址来控制访问?
不可以
知识点:
软件ACl和硬件ACL的区别:
目前设备支持的ACL,有以下两种实现方式。:
软件ACL:针对与本机交互的报文(必须上送CPU处理的报文),由软件实现来匹配报文的ACL,比如FTP、TFTP、Telnet、SNMP、HTTP、路由 协议、组播协议中引用的ACL。
硬件ACL:针对所有报文(一般是针对转发的数据报文),通过下发硬件ACL资源来匹配报文的ACL,比如流策略、基于ACL的简化流策略、用户组以及为接口收到的报文添加外层Tag功能中引用的ACL。
两者主要区别在于:处理不同的报文类型。
前者由软件实现;后者由硬件实现。通过前者匹配报文时,会消耗CPU资源,通过后者匹配报文时则会占用硬件资源。后者匹配报文的速度更快
转载:https://forum.huawei.com/enterprise/zh/thread-250775-1-1.html
二层接口在收到单播帧后,会在MAC表中查询该数据帧的目的MAC地址,然后依据表项指引进行转发,如果没有任何表项匹配,则进行泛洪。三层接口在收到单播帧后,首先判断其目的MAC地址是否为本地MAC地址,如果是,将数据帧解封装,并解析出报文目的IP地址,然后进行路由查询及转发。因此二层接口与三层接口在数据处理行为上也存在明显差异。
参考链接:https://forum.huawei.com/enterprise/zh/thread-508447.html
