华为交换机ACL配置案例：实现VLAN间访问控制与隔离策略

在进行网络配置与安全管理时，确保网络数据的安全性和高效性是至关重要的。以下通过一个实验来探讨华为交换机在全球配置下的访问控制列表（ACL）以及VLAN模式下的流量过滤效果。
实验使用了LSW2交换机、Server1、Client1、Client2、PC2和PC5作为测试环境，旨在测试全局ACL和VLAN模式下的入站与出站流量过滤。
首先，我们来看看黑名单模式下的全局扩展ACL。在LSW2上配置了ACL编号3001，其中包括拒绝特定源ip地址的ICMP请求和TCP流量，以及允许所有IP流量的规则。实验结果表明，全局ACL能够有效过滤网络层协议，如ICMP，但对传输层协议（L4及以上）无效。此外，建议在设置过滤规则时，最后一条规则应允许所有IP流量，即使用黑名单策略。
进一步地，实验还测试了基于全局VLAN的扩展ACL流策略。通过将ACL应用于VLAN的入站方向，测试结果显示，该策略仅对指定VLAN内的流量有效，且同样对高层协议无效。
接下来，我们探讨了白名单模式下的全局扩展ACL。在这种模式下，仅允许指定的IP源和目的地之间的流量通过，其余流量被拒绝。实验发现，全局ACL在这种配置下对整个网络是有效的，但需要注意流量的往返方向，并且为了安全起见，应谨慎使用白名单机制，因为它可能导致如OSPF这样的网络协议失效。
在基于全局VLAN的白名单ACL策略中，ACL仅对VLAN内的流量生效，而且必须注意流量的方向。实验表明，入站方向的策略有效，而出站方向的策略则不生效。
总结整个实验过程，我们可以得出以下结论：无论是全局模式还是基于VLAN的ACL过滤，对高层协议的过滤效果均不理想，但对网络层协议则效果显著。在设置ACL时，建议使用黑名单策略，并确保最后一条规则允许所有IP流量。此外，全局ACL过滤对整个网络生效，而基于VLAN的ACL仅对特定VLAN生效，因此在制定策略时应考虑流量方向。同时，应谨慎使用白名单机制，以避免潜在的网络问题。
通过这样的实验和分析，可以为网络管理员在配置网络访问控制时提供有价值的参考，确保网络的稳定性和安全性。

目的是验证华为交换机在全球范围内配置了查看模式下的全局ACL流量过滤和VLAN模式下的入站和出站过滤。测试环境中主要使用LSW2交换机、Server1、Client1、Client2、PC2和PC5。

实验拓扑图

实验拓扑图

实验一(黑名单模式)全局扩展ACL，简化流量策略。

LSW2:

acl编号3001

规则10拒绝icmp源192.168.20.20 0

规则20拒绝tcp源192.168.20.30 0目的端口eq ftp

规则25拒绝tcp源192.168.20.30目的端口eq www

规则30允许ip

[ls w2]流量筛选器入站acl 3001

在应用全局ACL之前进行测试:

PC5可以正常ping通Server1。

客户端1可以正常地ftp到服务器1。

客户端1可以正常地HTTP访问服务器1。

在启用全局ACL之前测试情况:

LSW2启用全局ACL过滤。

Pcping无法到达服务器1。

客户端1仍然可以通过ftp访问服务器1。

客户端1仍然可以通过http访问服务器1

2.客户端2可以正常PING服务器1。

发现全局模式下的ACL过滤对高层协议(L4及以上)无效，对网络级协议有效。并且建议使用黑名单来限制流量，即最后一个必须是permit ip any。

基于全局vlan的扩展ACL流策略

acl编号3001

规则10拒绝icmp源192.168.20.20 0

规则20拒绝tcp源192.168.20.30 0目的端口eq ftp

规则25拒绝tcp源192.168.20.30目的端口eq www

规则30允许ip

[ls w2]流量筛选器vlan 20入站acl 3001

在全局VLAN模式下启用ACL之前进行测试:

LSW2应用全球VLAN入站方向的ACL。

Pcping无法到达服务器1。

客户端1可以通过ftp访问服务器1。

客户端1可以通过http访问服务器1。

PC2、客户端2 PING服务器1

根据配置1的汇总测试，全局模式下的acl过滤和全局vlan模式下的acl过滤对高层协议(L4及以上)无效，对网络层协议有效。入站和出站效果一样，建议使用黑名单限制流量，即最后一个必须是permit ip any。

实验二(白名单模式):全局扩展ACL，简化流量策略(谨慎使用白名单机制，防止ospf邻居宕机或其他协议因泄漏策略受到影响)

LSW2:

acl编号3003

规则10允许ip源192.168.20.20 0目的地192.168.10.10 0

规则15允许ip源192.168.10.10 0目的地192.168.20.20 0

规则20允许ip源192.168.20.30 0目的地192.168.10.10 0

规则25允许ip源192.168.10.10 0目的地192.168.20.30 0

规则30拒绝ip

[ls w2]流量筛选器入站acl 3003

在启用全局ACL之前测试情况:

PC5可以PING通服务器1。

客户端1可以通过http访问服务器1。

客户端1可以通过ftp访问服务器1。

2.客户端2无法PING通服务器1。

Ospf邻居关系关闭

发现全局acl过滤在全局上是有效的，要注意往返流量方向的变化。所以，每篇文章都是放出来的。

其实应该写两个策略，目标地址互换。

---

基于全局vlan的扩展ACL流策略

acl编号3003

规则10允许ip源192.168.20.20 0目的地192.168.10.10 0

规则15允许ip源192.168.10.10 0目的地192.168.20.20 0

规则20允许ip源192.168.20.30 0目的地192.168.10.10 0

规则25允许ip源192.168.10.10 0目的地192.168.20.30 0

规则30拒绝ip

[ls w2]流量筛选器vlan 20入站acl 3003

在启用全局VLAN ACL之前测试情况:

PC5可以PING通服务器1。

客户端1可以通过ftp访问服务器1。

客户端1可以通过http访问服务器1。

Client2可以PING通Server1，但PC2无法PING通Server1。

测试结论:基于全局vlan的acl过滤仅对vlan有效，要注意流量方向的变化。所以，每个释放策略实际上应该写成两个，源地址和目的地址互换，入站生效。换个方向，把进站换成出站，检测结果不生效。

总结:全局模式下的acl过滤和全局vlan模式下的acl过滤对高层协议(L4及以上)无效，对网络层协议有效。并且建议使用黑名单来限制流量，即最后一个必须是permit ip any。

全局acl过滤是全局生效的，而基于全局VLAN的acl过滤只对VLAN生效，要注意流量方向的变化。因此，每个发布策略实际上应该写成两个，目的地址是可以互换的。入站生效，出站不生效。

尽量谨慎使用白名单机制，因为泄露策略很容易导致OSPF协议(OSPF协议工作在网络层)等网络瘫痪。