1. 华为S5700交换机ACL基础概念第一次接触华为S5700交换机的ACL功能时我也被那些专业术语搞得一头雾水。后来在实际项目中摸爬滚打几年才发现ACL访问控制列表其实就是网络流量的交通警察。想象一下如果没有交通信号灯和交警指挥城市道路会乱成什么样子网络世界也是同样的道理。华为S5700系列交换机作为企业级核心设备它的ACL功能特别适合用来做这几件事部门间隔离比如财务部不能访问研发部的服务器关键业务保护只允许特定IP访问数据库服务器上网行为管理限制某些员工访问视频网站我经手过一个典型的案例某公司市场部经常用P2P下载大文件导致网络卡顿。通过配置ACL规则限制特定端口的流量问题立刻得到解决。这种精准控制的能力正是S5700 ACL最实用的地方。2. ACL配置前的准备工作2.1 网络拓扑分析在动手配置之前我建议先用Visio画个简单的网络拓扑图。上周帮客户排查问题时就发现他们连自己网络里有哪些网段都说不清楚。你需要明确哪些子网需要互访如192.168.10.0/24和192.168.20.0/24哪些服务器需要特殊保护如财务系统的192.168.100.5哪些流量需要完全禁止如P2P下载的常见端口2.2 登录交换机通过Console线或SSH登录后先检查系统版本sw1display version这个步骤很重要因为不同版本的命令可能略有差异。我遇到过客户用网上的配置教程结果命令不兼容把交换机搞宕机的情况。3. 基础ACL配置实战3.1 创建基本ACL规则先来看个最简单的场景只允许IT部门的192.168.10.0网段访问网络打印机192.168.100.10。配置命令如下[sw1]acl number 2000 [sw1-acl-basic-2000]rule permit source 192.168.10.0 0.0.0.255 [sw1-acl-basic-2000]rule deny source any这里有个新手容易踩的坑ACL编号范围决定类型2000-2999基本ACL只匹配源IP3000-3999高级ACL可匹配五元组其他编号有其他特殊用途3.2 应用ACL到接口创建好的ACL需要应用到接口才生效[sw1]interface GigabitEthernet 0/0/1 [sw1-GigabitEthernet0/0/1]traffic-filter inbound acl 2000注意方向参数inbound/outbound的区别inbound对进入交换机的流量过滤outbound对从交换机出去的流量过滤4. 高级ACL配置技巧4.1 基于协议的精细控制上周有个客户需要禁止研发部访问微信但允许使用企业微信。这种需求就要用到高级ACL[sw1]acl number 3000 [sw1-acl-adv-3000]rule deny tcp source 192.168.20.0 0.0.0.255 destination any destination-port eq 80 [sw1-acl-adv-3000]rule deny tcp source 192.168.20.0 0.0.0.255 destination any destination-port eq 443这个配置会阻断研发部所有HTTP/HTTPS流量。实际项目中我通常会加上例外规则允许访问公司官网等重要资源。4.2 时间段ACL配置很多企业需要上班时间禁止游戏午休时段放开。这时可以结合时间段[sw1]time-range worktime 08:00 to 17:30 working-day [sw1]acl number 3001 [sw1-acl-adv-3001]rule deny tcp source any destination any destination-port range 8000 9000 time-range worktime注意时间格式要写完整有次我漏写working-day参数结果规则在周末也生效了。5. 企业级部署方案5.1 多业务流分类大型企业网络通常需要更复杂的策略。比如这个案例允许市场部访问CRM系统禁止访问文件服务器限制视频流量不超过10Mbps配置步骤[sw1]traffic classifier market-crm [sw1-classifier-market-crm]if-match acl 3002 [sw1]traffic classifier market-fileserver [sw1-classifier-market-fileserver]if-match acl 3003 [sw1]traffic classifier market-video [sw1-classifier-market-video]if-match acl 3004 [sw1]traffic behavior permit-crm [sw1-behavior-permit-crm]permit [sw1]traffic behavior deny-fileserver [sw1-behavior-deny-fileserver]deny [sw1]traffic behavior limit-video [sw1-behavior-limit-video]car cir 10000 [sw1]traffic policy market-policy [sw1-trafficpolicy-market-policy]classifier market-crm behavior permit-crm [sw1-trafficpolicy-market-policy]classifier market-fileserver behavior deny-fileserver [sw1-trafficpolicy-market-policy]classifier market-video behavior limit-video5.2 VLAN间访问控制当不同部门划分在不同VLAN时ACL配置要特别注意[sw1]acl number 3005 [sw1-acl-adv-3005]rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 [sw1]interface Vlanif10 [sw1-Vlanif10]traffic-filter outbound acl 3005这里有个性能优化技巧尽量在流量入口处做过滤而不是在核心交换机上处理所有流量。6. 常见问题排查6.1 规则不生效怎么办上周处理的一个典型案例客户配置的ACL没有生效。排查步骤应该是检查ACL是否应用到了正确接口display traffic-filter applied-record查看ACL计数是否增加display acl 3000检查是否有更高优先级的规则6.2 性能优化建议当ACL规则超过50条时要注意将常用规则放在前面ACL按顺序匹配合并相似规则如多个源IP访问同一目标考虑使用硬件ACL通过qos acl命令有次客户抱怨网络变慢最后发现是配置了800多条ACL规则导致CPU过载。精简到100条后性能立即恢复正常。7. 实际案例分享去年给某学校部署网络时遇到个典型需求教师办公室可以自由上网学生机房只能访问教学网站。最终方案是# 教师ACL acl number 3100 rule permit ip source 192.168.100.0 0.0.0.255 destination any # 学生ACL acl number 3101 rule permit ip source 192.168.200.0 0.0.0.255 destination 210.33.104.0 0.0.0.255 rule deny ip source 192.168.200.0 0.0.0.255 destination any # 应用到VLAN interface Vlanif100 traffic-policy t-teach inbound interface Vlanif200 traffic-policy s-study inbound这个配置运行一年来非常稳定关键是要定期更新教学网站的IP列表。
华为S5700交换机ACL实战:精准控制网络访问权限
1. 华为S5700交换机ACL基础概念第一次接触华为S5700交换机的ACL功能时我也被那些专业术语搞得一头雾水。后来在实际项目中摸爬滚打几年才发现ACL访问控制列表其实就是网络流量的交通警察。想象一下如果没有交通信号灯和交警指挥城市道路会乱成什么样子网络世界也是同样的道理。华为S5700系列交换机作为企业级核心设备它的ACL功能特别适合用来做这几件事部门间隔离比如财务部不能访问研发部的服务器关键业务保护只允许特定IP访问数据库服务器上网行为管理限制某些员工访问视频网站我经手过一个典型的案例某公司市场部经常用P2P下载大文件导致网络卡顿。通过配置ACL规则限制特定端口的流量问题立刻得到解决。这种精准控制的能力正是S5700 ACL最实用的地方。2. ACL配置前的准备工作2.1 网络拓扑分析在动手配置之前我建议先用Visio画个简单的网络拓扑图。上周帮客户排查问题时就发现他们连自己网络里有哪些网段都说不清楚。你需要明确哪些子网需要互访如192.168.10.0/24和192.168.20.0/24哪些服务器需要特殊保护如财务系统的192.168.100.5哪些流量需要完全禁止如P2P下载的常见端口2.2 登录交换机通过Console线或SSH登录后先检查系统版本sw1display version这个步骤很重要因为不同版本的命令可能略有差异。我遇到过客户用网上的配置教程结果命令不兼容把交换机搞宕机的情况。3. 基础ACL配置实战3.1 创建基本ACL规则先来看个最简单的场景只允许IT部门的192.168.10.0网段访问网络打印机192.168.100.10。配置命令如下[sw1]acl number 2000 [sw1-acl-basic-2000]rule permit source 192.168.10.0 0.0.0.255 [sw1-acl-basic-2000]rule deny source any这里有个新手容易踩的坑ACL编号范围决定类型2000-2999基本ACL只匹配源IP3000-3999高级ACL可匹配五元组其他编号有其他特殊用途3.2 应用ACL到接口创建好的ACL需要应用到接口才生效[sw1]interface GigabitEthernet 0/0/1 [sw1-GigabitEthernet0/0/1]traffic-filter inbound acl 2000注意方向参数inbound/outbound的区别inbound对进入交换机的流量过滤outbound对从交换机出去的流量过滤4. 高级ACL配置技巧4.1 基于协议的精细控制上周有个客户需要禁止研发部访问微信但允许使用企业微信。这种需求就要用到高级ACL[sw1]acl number 3000 [sw1-acl-adv-3000]rule deny tcp source 192.168.20.0 0.0.0.255 destination any destination-port eq 80 [sw1-acl-adv-3000]rule deny tcp source 192.168.20.0 0.0.0.255 destination any destination-port eq 443这个配置会阻断研发部所有HTTP/HTTPS流量。实际项目中我通常会加上例外规则允许访问公司官网等重要资源。4.2 时间段ACL配置很多企业需要上班时间禁止游戏午休时段放开。这时可以结合时间段[sw1]time-range worktime 08:00 to 17:30 working-day [sw1]acl number 3001 [sw1-acl-adv-3001]rule deny tcp source any destination any destination-port range 8000 9000 time-range worktime注意时间格式要写完整有次我漏写working-day参数结果规则在周末也生效了。5. 企业级部署方案5.1 多业务流分类大型企业网络通常需要更复杂的策略。比如这个案例允许市场部访问CRM系统禁止访问文件服务器限制视频流量不超过10Mbps配置步骤[sw1]traffic classifier market-crm [sw1-classifier-market-crm]if-match acl 3002 [sw1]traffic classifier market-fileserver [sw1-classifier-market-fileserver]if-match acl 3003 [sw1]traffic classifier market-video [sw1-classifier-market-video]if-match acl 3004 [sw1]traffic behavior permit-crm [sw1-behavior-permit-crm]permit [sw1]traffic behavior deny-fileserver [sw1-behavior-deny-fileserver]deny [sw1]traffic behavior limit-video [sw1-behavior-limit-video]car cir 10000 [sw1]traffic policy market-policy [sw1-trafficpolicy-market-policy]classifier market-crm behavior permit-crm [sw1-trafficpolicy-market-policy]classifier market-fileserver behavior deny-fileserver [sw1-trafficpolicy-market-policy]classifier market-video behavior limit-video5.2 VLAN间访问控制当不同部门划分在不同VLAN时ACL配置要特别注意[sw1]acl number 3005 [sw1-acl-adv-3005]rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 [sw1]interface Vlanif10 [sw1-Vlanif10]traffic-filter outbound acl 3005这里有个性能优化技巧尽量在流量入口处做过滤而不是在核心交换机上处理所有流量。6. 常见问题排查6.1 规则不生效怎么办上周处理的一个典型案例客户配置的ACL没有生效。排查步骤应该是检查ACL是否应用到了正确接口display traffic-filter applied-record查看ACL计数是否增加display acl 3000检查是否有更高优先级的规则6.2 性能优化建议当ACL规则超过50条时要注意将常用规则放在前面ACL按顺序匹配合并相似规则如多个源IP访问同一目标考虑使用硬件ACL通过qos acl命令有次客户抱怨网络变慢最后发现是配置了800多条ACL规则导致CPU过载。精简到100条后性能立即恢复正常。7. 实际案例分享去年给某学校部署网络时遇到个典型需求教师办公室可以自由上网学生机房只能访问教学网站。最终方案是# 教师ACL acl number 3100 rule permit ip source 192.168.100.0 0.0.0.255 destination any # 学生ACL acl number 3101 rule permit ip source 192.168.200.0 0.0.0.255 destination 210.33.104.0 0.0.0.255 rule deny ip source 192.168.200.0 0.0.0.255 destination any # 应用到VLAN interface Vlanif100 traffic-policy t-teach inbound interface Vlanif200 traffic-policy s-study inbound这个配置运行一年来非常稳定关键是要定期更新教学网站的IP列表。
