首先,我们需要理解实验的拓扑结构。实验环境主要包括LSW2交换机、Server1、Client1、Client2、PC2和PC5。在实验中,我们重点关注了两种模式:黑名单模式和白名单模式,并观察了它们对网络层协议和高层协议(L4及以上)的影响。
### 黑名单模式实验
在黑名单模式中,我们设置了全局扩展ACL,简化的流量策略包括拒绝特定的ip地址和端口的访问,然后允许所有其他IP流量。具体操作如下:
- 在LSW2上创建ACL编号3001,并添加规则拒绝来自特定IP地址的ICMP请求和TCP端口的连接。 - 应用全局ACL前,测试显示PC5可以正常ping通Server1,Client1可以正常使用FTP和HTTP访问Server1。 - 启用全局ACL后,PCping无法到达服务器1,但Client1仍然可以通过FTP和HTTP访问服务器1。此外,客户端2可以正常PING服务器1。
实验结果表明,全局模式下的ACL过滤对网络层协议有效,但对高层协议无效。因此,我们建议使用黑名单策略限制流量,并确保最后一个规则允许所有IP流量(permit ip any)。
### 基于VLAN的ACL过滤
接下来,我们在VLAN模式下进行了类似的实验。我们将相同的ACL规则应用于VLAN 20的入站方向。测试结果表明,基于VLAN的ACL过滤对VLAN内的流量有效,且对网络层协议同样有效。
### 白名单模式实验
在白名单模式中,我们仅允许特定的IP地址之间的流量,拒绝所有其他流量。这种模式需要更加谨慎使用,因为它可能会导致OSPF邻居关系中断或其他协议问题。
- 创建ACL编号3003,仅允许特定IP地址之间的流量。 - 应用全局ACL前,测试显示客户端可以正常访问服务器。 - 启用全局ACL后,客户端无法访问服务器,OSPF邻居关系也关闭了。
实验证明,白名单模式在全局上有效,但需要注意往返流量方向的变化,以及可能对网络协议造成的影响。
### 基于VLAN的白名单模式
将白名单模式应用于VLAN时,我们发现了类似的结果:基于VLAN的ACL过滤只对VLAN内的流量有效。此外,当改变流量方向时,入站过滤有效,而出站过滤不生效。
### 总结
通过实验,我们得出了以下结论:
- 全局模式下的ACL过滤和全局VLAN模式下的ACL过滤对网络层协议有效,但对高层协议无效。 - 使用黑名单策略更为安全,最后一个规则应为允许所有IP流量。 - 白名单模式可能导致网络协议问题,应谨慎使用。 - VLAN内的ACL过滤对VLAN有效,但需要注意流量方向。
在网络安全的实践中,了解这些策略的影响至关重要,以确保网络的稳定性和安全性。
目的是验证华为交换机在全球范围内配置了查看模式下的全局ACL流量过滤和VLAN模式下的入站和出站过滤。测试环境中主要使用LSW2交换机、Server1、Client1、Client2、PC2和PC5。
实验拓扑图
实验拓扑图
实验一(黑名单模式)全局扩展ACL,简化流量策略。
LSW2:
acl编号3001
规则10拒绝icmp源192.168.20.20 0
规则20拒绝tcp源192.168.20.30 0目的端口eq ftp
规则25拒绝tcp源192.168.20.30目的端口eq www
规则30允许ip
[ls w2]流量筛选器入站acl 3001
PC5可以正常PING通Server1。
客户端1可以正常地ftp到服务器1。
客户端1可以正常地http访问服务器1。
LSW2启用全局ACL过滤。
Pcping无法到达服务器1。
客户端1仍然可以通过ftp访问服务器1。
客户端1仍然可以通过http访问服务器1
2.客户端2可以正常PING服务器1。
发现全局模式下的ACL过滤对高层协议(L4及以上)无效,对网络级协议有效。并且建议使用黑名单来限制流量,即最后一个必须是permit ip any。
基于全局vlan的扩展ACL流策略
acl编号3001
规则10拒绝icmp源192.168.20.20 0
规则20拒绝tcp源192.168.20.30 0目的端口eq ftp
规则25拒绝tcp源192.168.20.30目的端口eq www
规则30允许ip
[ls w2]流量筛选器vlan 20入站acl 3001
LSW2应用全球VLAN入站方向的ACL。
Pcping无法到达服务器1。
客户端1可以通过ftp访问服务器1。
客户端1可以通过http访问服务器1。
PC2、客户端2 PING服务器1
根据配置1的汇总测试,全局模式下的acl过滤和全局vlan模式下的acl过滤对高层协议(L4及以上)无效,对网络层协议有效。入站和出站效果一样,建议使用黑名单限制流量,即最后一个必须是permit ip any。
实验二(白名单模式):全局扩展ACL,简化流量策略(谨慎使用白名单机制,防止ospf邻居宕机或其他协议因泄漏策略受到影响)
LSW2:
acl编号3003
规则10允许ip源192.168.20.20 0目的地192.168.10.10 0
规则15允许ip源192.168.10.10 0目的地192.168.20.20 0
规则20允许ip源192.168.20.30 0目的地192.168.10.10 0
规则25允许ip源192.168.10.10 0目的地192.168.20.30 0
规则30拒绝ip
[ls w2]流量筛选器入站acl 3003
PC5可以PING通服务器1。
客户端1可以通过http访问服务器1。
客户端1可以通过ftp访问服务器1。
2.客户端2无法PING通服务器1。
Ospf邻居关系关闭
发现全局acl过滤在全局上是有效的,要注意往返流量方向的变化。所以,每篇文章都是放出来的。
其实应该写两个策略,目标地址互换。
基于全局vlan的扩展ACL流策略
acl编号3003
规则10允许ip源192.168.20.20 0目的地192.168.10.10 0
规则15允许ip源192.168.10.10 0目的地192.168.20.20 0
规则20允许ip源192.168.20.30 0目的地192.168.10.10 0
规则25允许ip源192.168.10.10 0目的地192.168.20.30 0
规则30拒绝ip
[ls w2]流量筛选器vlan 20入站acl 3003
PC5可以PING通服务器1。
客户端1可以通过ftp访问服务器1。
客户端1可以通过http访问服务器1。
Client2可以PING通Server1,但PC2无法PING通Server1。
测试结论:基于全局vlan的acl过滤仅对vlan有效,要注意流量方向的变化。所以,每个释放策略实际上应该写成两个,源地址和目的地址互换,入站生效。换个方向,把进站换成出站,检测结果不生效。
