华为6506交换机ACL详细规则?
最近在配置华为6506交换机的ACL时,有一些疑问。据说华为的ACL比较乱,不同型号,不同软件,不同板卡的ACL规则不同,例如:定义顺序和匹配顺序的关系,条数限制等等潜规...
最近在配置华为6506交换机的ACL时,有一些疑问。据说华为的ACL比较乱,不同型号,不同软件,不同板卡的ACL规则不同,例如:定义顺序和匹配顺序的关系,条数限制等等潜规则。想请知道的人指教一下。谢谢!
展开
2个回答
展开全部
华为3com年代生产的s6500系列交换机,他的acl规则是最为复杂的。
产品线的1代,2代到3代引擎,但这个acl的复杂度却没有改。
举一个典型的例子:
有A和B两个大网段(两个不同的vlan),两个网段的前N台主机各组成两个小网段A1和B1,还有两台主机AA和BB,主机地址在小网段之外大网段之内。
现在的要求是:A与B互禁,但是A1与B1互通,并且AA与BB互通。同一网段内的用户可以互访。
现只讨论单向的情况(即只在一个端口下发ACL)
刚开始看到这个需求,我们一般都会这样配置:
deny A to B
permit A1 to B1
permit AA to BB
然后下发到入端口
配置思路是没错的,我们也都以为这样配了就OK了,但其实6506的芯片不是这样工作的,所以这样配置肯定达不到目的。
正确的配置是:
deny A to B
deny A1 to B
deny A to B1
deny AA to B
deny AA to B1
deny A to BB
deny A1 to BB
permit A1 to B1
permit AA to BB
其实配置思路是这样的:
当两个互禁的大网段内的两个小网段要互通的话,一定要做小网段到大网段的deny,否则小网段肯定能与大网段互通。推广来说的话,在全局禁止,多个局部互通的情况下,除了局部之间的permit之外,还必须配置局部与全局、不同局部之间的deny。
产品线的1代,2代到3代引擎,但这个acl的复杂度却没有改。
举一个典型的例子:
有A和B两个大网段(两个不同的vlan),两个网段的前N台主机各组成两个小网段A1和B1,还有两台主机AA和BB,主机地址在小网段之外大网段之内。
现在的要求是:A与B互禁,但是A1与B1互通,并且AA与BB互通。同一网段内的用户可以互访。
现只讨论单向的情况(即只在一个端口下发ACL)
刚开始看到这个需求,我们一般都会这样配置:
deny A to B
permit A1 to B1
permit AA to BB
然后下发到入端口
配置思路是没错的,我们也都以为这样配了就OK了,但其实6506的芯片不是这样工作的,所以这样配置肯定达不到目的。
正确的配置是:
deny A to B
deny A1 to B
deny A to B1
deny AA to B
deny AA to B1
deny A to BB
deny A1 to BB
permit A1 to B1
permit AA to BB
其实配置思路是这样的:
当两个互禁的大网段内的两个小网段要互通的话,一定要做小网段到大网段的deny,否则小网段肯定能与大网段互通。推广来说的话,在全局禁止,多个局部互通的情况下,除了局部之间的permit之外,还必须配置局部与全局、不同局部之间的deny。
本回答由网友推荐
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
