参数 | 参数说明 | 取值 |
---|---|---|
number | 指定由数字标识的一个访问控制列表。 | — |
acl-number | 指定访问控制列表的编号。 | 整数形式。 |
match-order { auto config } | 指定ACL规则的匹配顺序。 | |
all | 指定删除所有的ACL。 |
整数形式
- 2000~2999表示基本ACL范围。
- 3000~3999表示高级ACL范围。
- 4000~4999表示二层ACL范围。
- 5000~5999表示用户自定义ACL范围。
- 6000~9999表示用户ACL范围。
指定ACL规则的匹配顺序
- auto: 匹配规则时系统自动排序(按“深度优先”的顺序)。 若“深度优先”的顺序相同,则匹配规则时按rule-id由小到大的顺序。
- config:匹配规则时按用户的配置顺序。 指定匹配该规则时按用户的配置顺序,是指在用户没有指定rule-id的前提下。若用户指定了rule-id,则匹配规则时,按rule-id由小到大的顺序。
- 如果创建ACL时未指定match-order参数,则该ACL默认的规则匹配顺序为config。
配置S1参数
<S1>system-view
Enter system view, return user view with Ctrl+Z.
[S1]acl
[S1]acl 3000 //制定ACL策略使PC1和PC2不同相互访问
[S1-acl-adv-3000]rule 1 deny ip source 1.0.0.1 0 destination 1.0.0.2 0
[S1-acl-adv-3000]dis thi
#
acl number 3000
rule 1 deny ip source 1.0.0.1 0 destination 1.0.0.2 0
#
return
[S1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000 //执行ACL策略使其相互不能访问。
[S1-GigabitEthernet0/0/1]dis thi
#
interface GigabitEthernet0/0/1
traffic-filter inbound acl 3000
#
return
测试结果:
总结分析:
制定acl访问控制策略能够有效阻止用户进行相互通信,但如果遇到成百上千台的主机,设置ACL策略阻隔不同部门或部门内部之间的通信,这时,制定ACL策略就不是非常简单、方便、高效了。
端口隔离
安全策略
为了实现报文之间的二层隔离,用户可以将不同的端口加入不同的VLAN,但这样会浪费有限的VLAN资源。采用端口隔离功能,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。
如果用户希望隔离同一VLAN内的广播报文,但是不同端口下的用户还可以进行三层通信,则可以将隔离模式设置为二层隔离三层互通;如果用户希望同一VLAN不同端口下用户彻底无法通信,则可以将隔离模式配置为二层三层均隔离即可。
配置方法
端口隔离包括双向隔离和单向隔离。缺省情况下,端口隔离模式是二层隔离三层互通,若需要配置二三层都隔离可以执行port-isolate mode all
命令配置。若不执行此命令在同一vlan中开启三层vlan,并开启arp代理即可实现通信,即可实现通行。实验如下。
配置S1参数:
[S1]interface GigabitEthernet 0/0/1
[S1-GigabitEthernet0/0/1]port-isolate enable group 1 //进入端口开启端口隔离并加入到相同的组中。
[S1-GigabitEthernet0/0/1]dis thi
#
interface GigabitEthernet0/0/1
port-isolate enable group 1
#
return
[S1-GigabitEthernet0/0/1]quit
[S1]interface GigabitEthernet 0/0/2
[S1-GigabitEthernet0/0/2]port-isolate enable ?
group Port isolate group
<cr>
[S1-GigabitEthernet0/0/2]port-isolate enable group 1 /进入端口开启端口隔离并加入到相同的组中。
[S1-GigabitEthernet0/0/2]dis thi
#
interface GigabitEthernet0/0/2
port-isolate enable group 1
#
return
[S1-GigabitEthernet0/0/2]quit
[S1]display port-isolate group all //查看是否成功加入组中
The ports in isolate group 1:
GigabitEthernet0/0/1 GigabitEthernet0/0/2
[S1]
测试结果:
此时未执行port-isolate mode all
命令。配置以下参数即可将上述配置的端口隔离依旧可以正常相互通信。
[S1]interface Vlanif 1
[S1-Vlanif1]ip address 1.0.0.254 8
[S1-Vlanif1]arp-proxy ?
enable Enable proxy ARP(Address Resolve Protocol)
inner-sub-vlan-proxy Proxy ARP within a VLAN
inter-sub-vlan-proxy Proxy ARP between VLANs
[S1-Vlanif1]arp-proxy inner-sub-vlan-proxy enable
[S1-Vlanif1]dis thi
#
interface Vlanif1
ip address 1.0.0.254 255.0.0.0
arp-proxy inner-sub-vlan-proxy enable
#
return
[S1-Vlanif1]
简析: 在交换机中开启并配置了三层IP地址,并开启了同一vlan内的arp代理功能,相当于在两台PC之间安放了一个“代理人”,即可相互通信。
解决办法: 执行port-isolate mode all
命令,将三层进行隔离。
[S1]port-isolate ?
mode Mode
[S1]port-isolate mode ?
all All
l2 L2 only
[S1]port-isolate mode all
[S1]
配置单向隔离
配置GE0/0/1和GE0/0/2单向隔离。
[S1]display current-configuration | include port-isolate
port-isolate mode all
[S1]interface GigabitEthernet 0/0/1
[S1-GigabitEthernet0/0/1]am isolate GigabitEthernet 0/0/2
[S1-GigabitEthernet0/0/1]dis thi
#
interface GigabitEthernet0/0/1
am isolate GigabitEthernet0/0/2
#
return
[S1-GigabitEthernet0/0/1]quit
产生背景
MUX VLAN(Multiplex VLAN)提供了一种通过VLAN进行网络资源控制的机制。例如,在企业网络中,企业员工和企业客户可以访问企业的服务器。对于企业来说,希望企业内部员工之间可以互相交流,而企业客户之间是隔离的,不能够互相访问。
为了实现所有用户都可访问企业服务器,可通过配置VLAN间通信实现。如果企业规模很大,拥有大量的用户,那么就要为不能互相访问的用户都分配VLAN,这不但需要耗费大量的VLAN ID,还增加了网络管理者的工作量同时也增加了维护量。
通过MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相交流,而企业客户之间是隔离的。
基本概念
MUX VLAN分为Principal VLAN和Subordinate VLAN,Subordinate VLAN又分为Separate VLAN和Group VLAN。
MUX VLAN | VLAN类型 | 所属接口 | 通信权限 |
---|---|---|---|
Principal VLAN(主VLAN) | - | Principal port | Principal port可以和MUX VLAN内的所有接口进行通信。 |
Subordinate VLAN(从VLAN) | Separate VLAN(隔离型从VLAN) | Separate port | Separate port只能和Principal port进行通信,和其他类型的接口实现完全隔离。每个Separate VLAN必须绑定一个Principal VLAN。 |
- | Group VLAN(互通型从VLAN) | Group port | Group port可以和Principal port进行通信,在同一组内的接口也可互相通信,但不能和其他组接口或Separate port通信。每个Group VLAN必须绑定一个Principal VLAN。 |
通信原理
根据MUX VLAN特性,企业可以用Principal port连接企业服务器,Separate port连接企业客户,Group port连接企业员工。这样就能够实现企业客户、企业员工都能够访问企业服务器,而企业员工内部可以通信、企业客户间不能通信、企业客户和企业员工之间不能互访的目的。
对于汇聚层设备,可以为Principal VLAN创建VLANIF接口,VLANIF接口的IP地址可以作为Host或Server的网关地址。如图2所示,在汇聚设备Switch1上配置MUX VLAN,可以灵活实现接入流量的隔离或者互通。
命令 | 备注 |
---|---|
[SW] vlan batch 2 3 10 | 创建VLAN |
[SW] vlan 10 | 进入vlan |
[SW-vlan 10] mux-vlan | 配置主vlan |
[SW-vlan 10] subordinate group 2 | 配置互通信从VLAN |
[SW-vlan 10] subordinate separate 3 | 配置隔离型从VLAN |
[SW-GigabitEthernet0/0/1] port mux-vlan enable | 开启Mux-Vlan功能 |
配置SW1的相关参数
sys
sys SW1
vlan batch 2 3 10
int g0/0/1
p l a
p d v 10
int g0/0/2
p l a
p d v 2
int g0/0/3
p l a
p d v 2
int g0/0/4
p l a
p d v 3
int g0/0/5
p l a
p d v 3
[SW1]vlan 10
[SW1-vlan10]mux-vlan //配置vlan 10为主vlan
[SW1-vlan10]subordinate ?
group Vlan Group
separate Separate vlan
[SW1-vlan10]subordinate group 2 //配置vlan 2 为互通型从vlan
[SW1-vlan10]subordinate separate 3 //配置vlan 3 为隔离型从vlan
[SW1-vlan10]dis thi
#
vlan 10
mux-vlan
subordinate separate 3
subordinate group 2
#
return
[SW1-vlan10]display mux-vlan //查询配置参数
Principal Subordinate Type Interface
-----------------------------------------------------------------------------
10 - principal
10 3 separate
10 2 group
-----------------------------------------------------------------------------
[SW1-vlan10]quit
———————————————————————————————————————————————————————————
# 在加入的vlan的每个端口执行`port mux-vlan enable`命令即可。
[SW1-GigabitEthernet0/0/1]port mux-vlan enable
[SW1-GigabitEthernet0/0/1]dis thi
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
port mux-vlan enable
#
return
[SW1-GigabitEthernet0/0/1]int g0/0/2
[SW1-GigabitEthernet0/0/2]dis thi
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 2
port mux-vlan enable
#
return
[SW1-GigabitEthernet0/0/2]quit
[SW1]interface GigabitEthernet 0/0/3
[SW1-GigabitEthernet0/0/3]dis thi
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 2
port mux-vlan enable
#
return
[SW1-GigabitEthernet0/0/3]
[SW1]interface GigabitEthernet 0/0/4
[SW1-GigabitEthernet0/0/4]dis thi
#
interface GigabitEthernet0/0/4
port link-type access
port default vlan 3
port mux-vlan enable
#
return
[SW1-GigabitEthernet0/0/4]quit
[SW1-GigabitEthernet0/0/5]dis thi
#
interface GigabitEthernet0/0/5
port link-type access
port default vlan 3
port mux-vlan enable
#
return
[SW1-GigabitEthernet0/0/5]
[SW1]display mux-vlan
Principal Subordinate Type Interface
-----------------------------------------------------------------------------
10 - principal
10 3 separate GigabitEthernet0/0/4 GigabitEthernet0/0/5
10 2 group GigabitEthernet0/0/2 GigabitEthernet0/0/3
-----------------------------------------------------------------------------
[SW1]
测试结果:
vlan 2中企业员工能够相互通信并能够访问服务器。
vlan 3企业客户之间不能通信但能够访问服务器。
背景信息
Super-VLAN由多个Sub-VLAN组成,不能加入物理接口,但可以创建VLANIF接口并配置IP地址。
在配置Super-VLAN之前必须已完成配置Sub-VLAN。
配置AR1参数:
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]
[Huawei]sys R1
[R1]
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]
[R1-GigabitEthernet0/0/0]ip add 12.0.0.1 24
Aug 10 2020 17:13:13-08:00 R1 %%01IFNET/4/LINK_STATE(l)[0]:The line protocol IP
on the interface GigabitEthernet0/0/0 has entered the UP state.
[R1-GigabitEthernet0/0/0]
[R1-GigabitEthernet0/0/0]int lo 1
[R1-LoopBack1]
[R1-LoopBack1]ip add 1.1.1.1 32
[R1-LoopBack1]dis thi
[V200R003C00]
#
interface LoopBack1
ip address 1.1.1.1 255.255.255.255
#
return
[R1-LoopBack1]
[R1]ip route-s 0.0.0.0 0 12.0.0.2 //引入默认路由
配置SW1参数:
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sys SW1
[SW1]vlan batch 2 3 10 12 //创建vlan ,其中vlan 12作为和R1之间正常通信使用,vlan 10 为超级vlan,vlan 2 3为子vlan
Info: This operation may take a few seconds. Please wait for a moment...done.
[SW1]int g0/0/3
[SW1-GigabitEthernet0/0/3]p l a
[SW1-GigabitEthernet0/0/3]p d v 12
[SW1-GigabitEthernet0/0/3]int vlanif 12
[SW1-Vlanif12]ip add 12.0.0.2 24
[SW1-Vlanif12]
[SW1-Vlanif12]ip route-s 1.1.1.1 32 12.0.0.1 //配置静态路由
Aug 10 2020 17:14:05-08:00 SW1 %%01IFNET/4/IF_STATE(l)[0]:Interface Vlanif12 has
turned into UP state.
Aug 10 2020 17:14:05-08:00 SW1 %%01IFNET/4/LINK_STATE(l)[1]:The line protocol IP
on the interface Vlanif12 has entered the UP state.
[SW1]
[SW1]vlan 10
[SW1-vlan10]a
[SW1-vlan10]aggregate-vlan ?
<cr>
[SW1-vlan10]aggregate-vlan //设置vlan 10 为Super VLAN
[SW1-vlan10]access-vlan ?
INTEGER<1-4094>
[SW1-vlan10]access-vlan 2 //添加子VLAN 2 3
[SW1-vlan10]access-vlan 3
[SW1-vlan10]dis thi
#
vlan 10
aggregate-vlan
access-vlan 2 to 3
#
return
[SW1-vlan10]
[SW1-vlan10]display sub-vlan //查询sub vlan
VLAN ID Super-vlan
--------------------------------------------------------------------------------
2 10
3 10
[SW1-vlan10]dis
[SW1-vlan10]display sup
[SW1-vlan10]display super-vlan //查询super vlan
VLAN ID Sub-vlan
--------------------------------------------------------------------------------
10 2-3
[SW1-vlan10]
[SW1]interface Vlanif 10 //配置vlan 10的IP地址
[SW1-Vlanif10]dis thi
#
interface Vlanif10
ip address 192.168.0.254 255.255.255.0
#
return
[SW1-Vlanif10]
***此时,需要开启vlan间的ARP代理即可。***
配置SW1参数:
[SW1]interface Vlanif 10
[SW1-Vlanif10]arp-proxy ?
enable Enable proxy ARP(Address Resolve Protocol)
inner-sub-vlan-proxy Proxy ARP within a VLAN
inter-sub-vlan-proxy Proxy ARP between VLANs
[SW1-Vlanif10]arp-proxy inter-sub-vlan-proxy ?
enable Enable proxy ARP(Address Resolve Protocol)
[SW1-Vlanif10]arp-proxy inter-sub-vlan-proxy enable //开启ARP代理功能
[SW1-Vlanif10]