华为交换机可不可以基于VLAN做ACL,而不是物理端口,具体是什么型号,新手啊,好多都不懂
S2700-EI支持丰富的ACL策略控制,特别支持基于VLAN下发ACL规则,实现VLAN内多端口的灵活控制和统一资源调度。而S3700、S5700更是三层交换机,以及为运营商提供的S2300、S3300、5300以及S9300,当然支持基于VLAN的ACL,而华三的交换机, 二层交换机需要是EI型号,比如 S3100-26TP-EI,而SI类应该是有问题,没有试过,华三 S3600、S5120EI,S5500,S5800,S7500及以上三层交换机也都支持基于VLAN的ACL。
在思科设备上,有VLAN ACL和VACL的区别:
我们常说的VLAN之间的访问控制,它的实现方式是将ACL直接应用到VLAN的虚端口上,与应用到物理端口的ACL实现方式是一样的。而VLAN访问控制(VACL),也称为VLAN访问映射表,它的实现方式与前者完全不同。它应用于VLAN中的所有通信流,支持基于ETHERTYPE和MAC地址的过滤,可以防止未经授权的数据流进入VLAN。目前支持的VACL操作有三种:转发(forward),丢弃(drop),重定向(redirect)。
1) 最后一条隐藏规则是deny ip any any,与ACL相同。
2) VACL没有inbound和outbound之分,区别于ACL。
3) 若ACL列表中是permit,而VACL中为drop,则数据流执行drop。
4) VACL规则应用在NAT之前。
5) 一个VACL可以用于多个VLAN中;但一个VLAN只能与一个VACL关联。
6) VACL只有在VLAN的端口被激活后才会启用,否则状态为inactive。
在交换机上有两种访问控制列表
1.控制抵达交换机的流量的访问控制列表
2.穿越交换机的流量的访问控制列表
控制穿越流量的三种类型ACL
1.RACL:路由器ACL,路由器是可以支持的,控制的是三层的流量,可以在三层接口上做input/output的过滤
2.VACL:vlan间的ACL,这种ACL是路由器不能支持的,它可以做三层或者VLAN内部的控制,也就是二层/三层都可以做限制
3.RACL:端口ACL,二层端口运用一个三层的访问控制列表,可以对VLAN间或者VLAN内部做限制,只能在input方向应用
VACL的特点
1.VACL能控制vlan内的流量
2.能够对IP或者是非IP的流量进行控制
3.VACL优先RACL进行处理
4.VACL没有方向性,进入或离开都要受控制
在思科设备上,我也试过,应用也很简单。
在华三的设备上,几年前我试过,没成功,只能用以下方法,进行代替性的工作:
基于网段的限速
为了保证办公区对带宽的优先使用,决定采用按VLAN分配带宽的限速策略。由于办公区优先级别高,它的平均带宽应大于带宽总平均值,所以将30M中的10M分配给VLAN 2,10M分配给VLAN 10,10M分配给VLAN 20配置如下:
定义各个vlan的上下行ACL
acl number 3001
rule 0 permit ip source 192.168.0.0 255.255.255.0
acl number 3002
rule 0 permit ip destination 192.168.0.0 255.255.255.0
acl number 3003
rule 0 permit ip source 192.168.1.0 255.255.255.0
acl number 3004
rule 0 permit ip destination 192.168.1.0 255.255.255.0
acl number 3005
rule 0 permit ip source 192.168.2.0 255.255.255.0
acl number 3006
rule 0 permit ip destination 192.168.2.0 255.255.255.0
interface GigabitEthernet1/0/1 //在外网口做限速
qos car inbound acl 3001 cir 12288000 cbs 800000 ebs 0 green pass red discard //vlan2上行带宽限制为12M
qos car inbound acl 3003 cir 12288000 cbs 800000 ebs 0 green pass red discard //vlan10上行带宽限制为12M
qos car inbound acl 3005 cir 12288000 cbs 800000 ebs 0 green pass red discard //vlan20上行带宽限制为12M
qos car outbound acl 3002 cir 12288000 cbs 800000 ebs 0 green pass red discard //vlan2下行带宽限制为12M
qos car outbound acl 3004 cir 12288000 cbs 800000 ebs 0 green pass red discard //vlan10下行带宽限制为12M
qos car outbound acl 3006 cir 12288000 cbs 800000 ebs 0 green pass red discard //vlan20下行带宽限制为12M
interface GigabitEthernet1/0/3 //在内网口做每IP限速
qos car inbound acl 3001 cir 2000000 cbs 100000 ebs 0 green pass red discard //vlan2上行带宽限制为2M
qos car inbound acl 3003 cir 2000000 cbs 100000 ebs 0 green pass red discard //vlan10上行带宽限制为2M
qos car inbound acl 3005 cir 2000000 cbs 100000 ebs 0 green pass red discard //vlan20上行带宽限制为2M
qos car outbound acl 3002 cir 2000000 cbs 100000 ebs 0 green pass red discard //vlan2下行带宽限制为2M
qos car outbound acl 3004 cir 2000000 cbs 100000 ebs 0 green pass red discard //vlan10下行带宽限制为2M
qos car outbound acl 3006 cir 2000000 cbs 100000 ebs 0 green pass red discard //vlan20下行带宽限制为2M
可以通过运行display qos car interface命令查看每条限速命令是否已生效
其他应用,需要实际应用的时候试试看了。
这是几年前开局时用过的,现在的交换机软件版本更新太快,这个做法,现在已经做不出来了。
现在最常用的,就是在华为X7系列以及X3交换机上做基于IP地址的ACL:
#
sysname Quidway
#
time-range server1 09:00 to 18:00 working-day
#
acl number 3001
rule 1 deny ip destination 192.168.2.1 0 time-range server1
#
interface GigabitEthernet0/0/1
traffic-filter inbound acl 3001 rule 1
return
刚才找了台机器试了下,华在X3,X7系列都支持,在WEB页面可以配置。将ACL应用到VLAN。
