学习目标：

认识华三h3c的两种ACL：basic acl 、 advanced acl
如何区分acl中的source ip或destination ip在接口下调用时inbound/outbound所指的方向。

学习内容：

本次实验的拓扑如下：y

1、如上图所示在交换机SW1上配置basic acl控制R1或客户server 3访问内网ssh服务的接口地址或loop back地址。以便验证华三系列交换机如何配置basic acl并调用在接口下。

2、如上图所示在交换机SW1上配置basic acl控制R1或客户server 3访问内网ssh服务的接口地址或loop back地址。以便验证华三系列交换机如何配置advance acl并调用在接口下。

实验过程：

基本配置：

内网ssh服务：
#
interface GigabitEthernet0/0ip address 188.8.3.2 255.255.255.0
#ip route-static 188.8.190.64 32 188.8.3.1  #指向客户server3的静态路由ip route-static 188.40.190.64 32 188.8.3.1  #指向客户server1的静态路由SW1：interface GigabitEthernet1/0/5ip address 188.8.3.1 255.255.255.0packet-filter 2005 outbound
#
acl basic 2005rule 100 deny logging counting
#R1：nat static inbound 2.2.2.2 188.8.190.64  #客户server3的nat地址nat static inbound 8.8.8.8 188.40.190.64  #客户server1的nat地址

1、inbound/outbound的区别

根据上面的基础配置，在直连ssh内网服务的接口调用acl 2005 outbound，此时拒绝所有流量。当从ssh内网发起流量（反之亦然，从客户server 3发起流量现象一致）设备log提示：

从ssh内网188.8.3.2访问188.8.190.64：<SW1>%Dec 15 22:17:38:838 2021 SW1 FILTER/6/FILTER_EXECUTION_ICMP: RcvIfName(1023)=GigabitEthernet1/0/5;Direction(1070)=outbound;AclType(1067)=ACL;Acl(1068)=2005;Protocol(1001)=ICMP;SrcIPAddr(1003)=188.8.190.64;DstIPAddr(1007)=188.8.3.2;IcmpType(1062)=ECHOREPLY(0);IcmpCode(1063)=0;MatchAclCount(1069)=1;Event(1048)=Deny;反之，从客户server3访问188.8.3.2：%Dec 15 22:17:54:168 2021 SW1 FILTER/6/FILTER_EXECUTION_ICMP: RcvIfName(1023)=GigabitEthernet1/0/5;Direction(1070)=outbound;AclType(1067)=ACL;Acl(1068)=2005;Protocol(1001)=ICMP;SrcIPAddr(1003)=188.8.190.64;DstIPAddr(1007)=188.8.3.2;IcmpType(1062)=ECHO(8);IcmpCode(1063)=0;MatchAclCount(1069)=1;Event(1048)=Deny;

根据上面的基础配置，在直连ssh内网服务的接口调用acl 2005 intbound，此时拒绝所有流量。当从ssh内网发起流量（反之亦然，从客户server 3发起流量现象一致）设备log提示：

从内网ssh访问客户server3
从客户server3访问内网ssh，两次的acl log日志相同：[SW1]%Dec 15 22:23:41:587 2021 SW1 FILTER/6/FILTER_IPV4_EXECUTION: RcvIfName(1023)=GigabitEthernet1/0/5;Direction(1070)=inbound;AclType(1067)=ACL;Acl(1068)=2005;Protocol(1001)=TCP;SrcIPAddr(1003)=188.8.3.2;SrcPort(1004)=22;DstIPAddr(1007)=188.8.190.64;DstPort(1008)=29184;MatchAclCount(1069)=1;Event(1048)=Deny;从客户server3访问内网ssh，两次的acl log日志相同：
%Dec 15 22:24:03:103 2021 SW1 FILTER/6/FILTER_IPV4_EXECUTION: RcvIfName(1023)=GigabitEthernet1/0/5;Direction(1070)=inbound;AclType(1067)=ACL;Acl(1068)=2005;Protocol(1001)=TCP;SrcIPAddr(1003)=188.8.3.2;SrcPort(1004)=17792;DstIPAddr(1007)=188.8.190.64;DstPort(1008)=22;MatchAclCount(1069)=1;Event(1048)=Deny;

综上：可知当acl部署在物理接口上时，源地址和目的地址的方向取决于接口的的配置inbound/outbound，且inbound指流量进入接口去往目的地址的方向，反之，outbound为流量流出物理接口去往目的地址的方向。（与我们日常所理解的in/out方向相同）

由此我们可以观察到放行流量的策略部署如下：

SW1
inbound部署策略：
interface GigabitEthernet1/0/5port link-mode routecombo enable fiberip address 188.8.3.1 255.255.255.0packet-filter 2005 inbound
#
acl basic 2005rule 5 permit source 188.8.3.2 0rule 100 deny logging counting
#
outbound部署策略：
interface GigabitEthernet1/0/5port link-mode routecombo enable fiberip address 188.8.3.1 255.255.255.0packet-filter 2005 outbound
#
acl basic 2005rule 5 permit source 188.8.190.64 0rule 100 deny logging counting
#

interface vlan 接口下的inbound/outbound：

基础配置同上，将物理接口修改为interface vlan

SW1：
interface Vlan-interface5ip address 188.8.3.1 255.255.255.0packet-filter 2005 outbound
#
interface GigabitEthernet1/0/5port link-mode bridgeport access vlan 5combo enable fiberstp edged-port
#
acl basic 2005rule 100 deny logging counting

分别从ssh内网服务，以及客户server3发起ping：

从内网ssh服务发起流量：
[SW1]%Apr 22 15:30:50:467 2022 SW1 FILTER/6/FILTER_EXECUTION_ICMP: RcvIfName(1023)=Vlan-interface5;Direction(1070)=outbound;AclType(1067)=ACL;Acl(1068)=2005;Protocol(1001)=ICMP;SrcIPAddr(1003)=188.8.190.64;DstIPAddr(1007)=188.8.3.2;IcmpType(1062)=ECHOREPLY(0);IcmpCode(1063)=0;MatchAclCount(1069)=1;Event(1048)=Deny;
从客户server3发起：
[SW1]%Apr 22 15:30:58:598 2022 SW1 FILTER/6/FILTER_EXECUTION_ICMP: RcvIfName(1023)=Vlan-interface5;Direction(1070)=outbound;AclType(1067)=ACL;Acl(1068)=2005;Protocol(1001)=ICMP;SrcIPAddr(1003)=188.8.190.64;DstIPAddr(1007)=188.8.3.2;IcmpType(1062)=ECHO(8);IcmpCode(1063)=0;MatchAclCount(1069)=1;Event(1048)=Deny;

综上：可知当acl部署在interface vlan 时，源地址和目的地址的方向取决于interface的的配置inbound/outbound，但是和物理接口的in/out方向相反。inbound为流量出接口去往源地址的方向，反之，outbound为流量流入interface vlan接口去往源地址的方向。（与我们日常所理解的acl的in/out方向相反），这里也可以将interface vlan接口看作桥梁，以源地址（发起流量）为参照物，从参照物进入接口的流量视作interface vlan的inbound，桥梁进入参照物的流量视作interface vlan的outbound：

结论：

在华三设备上部署acl限制流量，在物理接口和interface vlan 接口下源地址和目的地址的inbound，outbound方向相反。

华三h3c系列交换机ACL实践相关推荐

H3C华三S7506E系列交换机万兆IRF堆叠虚拟化
IRF(Intelligent Resilient Framework,智能弹性架构)是H3C自主研发的软件虚拟化技术.它的核心思想是将多台设备通过IRF物理端口连接在一起,进行必要的配置后,虚拟化成 ...
华三H3C交换机路由器如何配置dhcp中继
华三H3C交换机路由器如何配置dhcp中继(dhcp relay) 华三交换机路由器如何配置dhcp中继(dhcp relay) 具体环境如上图,内网有专门的dhcp服务器(此处用华三路由器代替)连接 ...
h200和gr1108_华三H3C GR1108-P 路由器性能极限
现有极限目前方案为: 刚买的这新品路由器还没用上一年,基本就要转岗.华三H3C GR1108-P这款路由器属于新品,作为路由器使用时,官方标明最大带宽为200Mbps,实际测试基本达到32MB/S左 ...
H3C系列交换机密码恢复方法
恢复H3C系列交换机的登录密码如果您设置的控制台登录密码丢失,可以通过使用 BootRom 菜单中的"跳过配置文件启动"功能进行恢复.请按照以下步骤进行操作: (1) 使用 ...
H3C系列交换机系统版本升级及导入配置
1.H3C系列交换机系统版本升级 a.在用户视图下输入命令将TFTP服务器上的软件版本*********.bin下载到交换机的flash中 <H3C> tftp x.x.x.x get * ...
H3C华三h3c认证考试报名咨询与交流
h3c华三H3C认证考试报名咨询与交流,H3CNE.H3CSE. H3CSCE.H3CCE.H3CSDN咨询联系2316646658QQ或者邮箱
h3c交换机配置远程管理_华三H3C交换机配置远程登录的方法
首先交换机会自带console线一根,现在很少有笔记本带串口了,我的TP也不带,于是买了根转换线,这里要说一下,转换线是需要装驱动的,可以把带的驱动装好,最好是copy一份到网盘里.装好驱动后,可以在 ...
如何在华三H3C交换机开启http或web界面远程登录管理
华三交换机开启web界面实验现在很多的华三交换机和路由器默认已经自带了WEB图形界面,只需要电脑配置一个互通的ip地址连接后就能登录到web界面,操作管理起来非常方便.但有时某些是没有开启web界面 ...
console h3c 波特率_H3C（华三）路由器交换机SecureCRT软件设置|连接Console口方法
工具/原料方法/步骤下载secureCRT软件打开,如果打开的不对是找不到"serial"的,建议大家应用程序都打开试试,多试几次就出来了. 文件-快速连接协议选择seri ...

华三h3c系列交换机ACL实践

学习目标：

学习内容：

实验过程：

华三h3c系列交换机ACL实践相关推荐

最新文章

热门文章