摘要:大家好,我是「极客运维社」飞哥!深耕企业组网和网络设备领域多年,每天为你拆解:1、交换机/路由器疑难故障处理方案2、网络架构优化与安全防护实战技巧3、中小企业低成本智能组网案例解析长按【收藏】 搭建你的专属运维知识库,点亮文末小红心,激励飞哥创作更多硬核内容。
大家好,我是「极客运维社」飞哥!深耕企业组网和网络设备领域多年,每天为你拆解:
1、交换机/路由器疑难故障处理方案
2、网络架构优化与安全防护实战技巧
3、中小企业低成本智能组网案例解析
点亮文末小红心,激励飞哥创作更多硬核内容。
特别提醒:网络运维问题常有突发性,建议将本文加入收藏,遇到设备配置、链路故障、卡顿、数据丢包等问题时,随时可调取解决方案!
网络架构图如下:
一、三层网络架构中acl的部署策略
在三层网络架构(核心层-汇聚层-接入层)中,ACL建议部署在汇聚层设备(如华为S系列交换机),原因如下:
1、策略集中管理:
汇聚层是连接不同VLAN/子网的枢纽,可统一控制跨区域流量。
2、性能优化:
避免在核心层配置复杂ACL影响转发效率,同时比接入层更灵活。
3、场景适配:
适合企业常见需求(如部门间互访控制、服务器安全防护)。
二、华为设备汇聚层ACL配置步骤
以下以华为S5735-L48T4S-A为例,演示三层架构中ACL的配置流程:
注:
这里只贴出了汇聚层的配置,关于 接入层,核心出口路由的配置,请参照我的上一篇文章
三层架构配置总失败?eNSP保姆级搭建指南(附拓扑+排错命令集)
1. 配置基础网络
#创建VlanVLAN batch 6 to 8 100##配置各个vlan的ip ,作为各个valn 的网关interface vlanif6 ip address 192.168.6.1 255.255.255.0#interface Vlanif7 ip address 192.168.7.1 255.255.255.0#interface Vlanif8 ip address 192.168.8.1 255.255.255.0#配置与路由器接口所属vlan的ip地址interface Vlanif100 ip address 192.168.1.2 255.255.255.0#置接口模式,并将相应的接口加入到各自所属vlan中interface GigabitEthernet0/0/1 port link-type access port default vlan 100#interface GigabitEthernet0/0/2 port link-type trunk port trunk allow-pass vlan 6 to 8##配置静态路由到路由器#ip route-static 0.0.0.0 0.0.0.0 192.168.1.1##开启dhcp功能#dhcp enable##配置地址池#ip pool vlan8_pool gateway-list 192.168.8.1 network 192.168.8.0 mask 255.255.255.0excluded-ip-address 192.168.8.1 192.168.8.10 lease day 3 hour 0 minute 0 dns-list 8.8.8.8 114.114.114.114## 在VLANIF接口关联地址池interface Vlanif8 dhcp select global#2. 创建高级ACL(控制研发部访问服务器)
# 创建高级ACL 3000acl number 3000 description R&D_TO_SERVER# 允许研发部访问服务器区80端口rule 5 permit tcp source 192.168.8.0 0.0.0.255 destination 172.16.100.0 0.0.0.255 destination-port eq 80# 拒绝研发部访问服务器区其他端口rule 10 deny tcp source 192.168.8.0 0.0.0.255 destination 172.16.100.0 0.0.0.255# 允许其他流量(如管理协议)rule 20 permit ip3. 应用ACL到VLAN接口
# 在Vlanif8出方向应用ACLinterface Vlanif8 traffic-filter outbound acl 30004. 配置基本ACL(限制管理流量)
# 创建基本ACL 2000,允许特定IP远程管理acl number 2000 rule 5 permit source 192.168.8.100 0 # 运维主机IP rule 10 deny source any # 默认拒绝其他IP# 在VTY接口应用ACLuser-interface vty 0 4 acl 2000 inbound5. 验证配置
# 查看ACL规则display acl 3000# 检查接口流量统计display traffic-filter statistics interface Vlanif10三、配置注意事项
1、ACL匹配顺序:
华为设备默认按规则ID从小到大匹配,需确保精确规则在前。
2、方向选择:
控制流出VLAN的流量 → 配置在出方向(outbound)。
控制流入VLAN的流量 → 配置在入方向(inbound)。
3、隐含拒绝:
ACL末尾隐含deny ip规则,需添加允许其他流量的规则。
4、时间策略:
可结合time-range配置时段性控制(如非工作时间禁止访问)。
四、故障排查命令
1、抓包验证:
# 在接口抓包并匹配ACLtraffic analyzer interface Vlanif8 inbound acl 30002、日志分析:
# 开启ACL命中日志acl number 3000 rule 5 permit tcp ... logging通过以上配置,可在汇聚层实现精细化的流量控制,平衡安全性与网络性能。实际部署时需根据业务需求调整规则优先级和方向。
来源:极客运维社
