所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-安全

本文档介绍了安全的配置,具体包括ACL配置、本机防攻击配置、MFF配置、攻击防范配置、流量抑制及风暴控制配置、ARP安全配置、端口安全配置、DHCP Snooping配置、ND Snooping配置、PPPoE+配置、IPSG配置、SAVI配置、URPF配置、Keychain配置、MPAC配置、PKI配置、业务与管理隔离配置、安全风险查询配置
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
流策略应用方向错误导致访问控制不生效

流策略应用方向错误导致访问控制不生效

故障现象

图1-23所示,某公司通过Switch实现各部门之间的互连。SwitchGE0/0/4连接工资查询服务器。公司要求禁止研发和市场等部门访问工资查询服务器,仅允许总裁办公室可以访问。因此,管理员在Switch上配置了ACL以及引用ACL的流策略,并在接口GE0/0/4的入方向上应用了流策略。由于应用方向错误,导致访问控制不生效。

图1-23  在接口上应用流策略组网图

操作步骤

  1. 在任意视图下,执行命令display traffic policy interface [ interface-type interface-number ],查看接口下已配置的流策略信息。

    发现接口GE0/0/4的入方向上应用了流策略p1:

      Interface: GigabitEthernet0/0/4                                            
                                                                                    
      Direction: Inbound      
      Policy: p1  
      ......

  2. 在任意视图下,执行命令display traffic-applied interface [ interface-type interface-number ] inbound verbose,查看接口下应用的流策略中引用的ACL以及流策略应用的接口方向。

    发现流策略p1引用的ACL编号是3001,并且流策略应用的接口方向是入方向。

    -----------------------------------------------------------                     
    Policy applied inbound interface GigabitEthernet0/0/4                           
                                                                                    
      Interface: GigabitEthernet0/0/4                                               
                                                                                    
      Direction: Inbound                                                            
                                                                                    
      Policy: p1                                                              
        Classifier: c1                                                        
          Operator: OR                                                              
          Rule(s) :                                                                 
            if-match acl 3001                                                       
        Behavior: b1                                                          
          Deny                                                                      
    ----------------------------------------------------------- 

  3. 在ACL 3001对应的高级ACL视图下,执行命令display this,查看ACL规则的配置。

    发现ACL 3001里配置了如下规则:

    acl number 3001                                                                 
     rule 5 permit ip source 10.164.1.0 0.0.0.255 destination 10.164.9.9 0             //允许总裁办公室访问服务器                                                         
     rule 10 deny ip destination 10.164.9.9 0             //禁止其他部门访问服务器

    可以看到,规则中的源IP地址是总裁办公室所在的网段,目的IP地址是服务器的IP地址,符合各部门访问服务器的报文特征,说明ACL规则配置是正确的。

  4. 分析流策略应用的接口方向

    步骤2可知,流策略应用的接口方向是入方向。进一步分析,各部门访问服务器的报文并不是从连接服务器的接口GE0/0/4进入Switch,而是从其他接口进入Switch并从接口GE0/0/4被转发出去(Switch收到这些报文后经过路由查询,将报文发送至出接口GE0/0/4)。

    因此将引用该ACL的流策略应用在接口GE0/0/4的入方向,访问控制不会生效。若要访问控制生效,则需将调整应用方向为出方向,或者调整流策略的应用位置(在全局、各部门对应的VLAN或Switch连接各部门的接口的入方向应用)。

  5. 调整流策略应用方向

    在接口视图(GE0/0/4)下,执行命令traffic-policy policy-name outbound,调整流策略在接口上的应用方向为出方向。

翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038434

浏览量:34451

下载量:977

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页