关于华为ACL日常维护中的一点点经验
来源:互联网 发布:罗技连点编程 编辑:程序博客网 时间:2024/06/05 16:03
关于华为ACL日常维护中的一点点经验和大家分享下
在已经做好的ACL控制策略中,
如192.168.1.0禁止访问192.168.2.0 3.0 4.0 5.0网段
acl number 3001
rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
rule 10 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
rule 15 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.4.0 0.0.0.255
rule 20 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.5.0 0.0.0.255
rule 25 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.6.0 0.0.0.128
但是在工作需求中要重新调整,使得192.168.1.0中的某个IP如192.168.1.10需要访问已被禁止的网段中的某个IP如192.168.6.215,那么要将1.10与6.215互通在调整过程中需要什么呢.
很显然重建建ACL规则是不可行的,因为将规则应用到端口上时,只能同时应用一条规则.
那么就只能从原有的3001规则上下手了.下面是操作步骤:
1.首先在端口上将inbound应用停用,如果3001已经在使用中,那么rule是不可更改的
2.清空3001中的所有规则,做好备份.将permit条目放在前端,再恢复原有的规则,原因是acl匹配有一个自上而下的顺序匹配,所以必须首先permit后deny
若先匹配到如rule 25 已经是deny,那么后面无论怎么做permit,结果还是拒绝,那么调整后的顺序应当是
rule 5 permit ip source 192.168.1.10 0 destination 192.168.6.215 0
rule 10 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
rule 15 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
rule 20 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.4.0 0.0.0.255
rule 25 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.5.0 0.0.0.255
rule 30 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.6.0 0.0.0.128
3.重新应用至接口.在应用过程中注意一点
traffic behavior 上permit与deny的区别.
使用permit表示按照acl 3001的规则来进行数据放行,3001中允许那就允许,禁止那就禁止
但是若使用deny,则无论3001规则中的permit或者deny,一律全都丢弃不进行转发.
在已经做好的ACL控制策略中,
如192.168.1.0禁止访问192.168.2.0 3.0 4.0 5.0网段
acl number 3001
rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
rule 10 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
rule 15 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.4.0 0.0.0.255
rule 20 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.5.0 0.0.0.255
rule 25 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.6.0 0.0.0.128
但是在工作需求中要重新调整,使得192.168.1.0中的某个IP如192.168.1.10需要访问已被禁止的网段中的某个IP如192.168.6.215,那么要将1.10与6.215互通在调整过程中需要什么呢.
很显然重建建ACL规则是不可行的,因为将规则应用到端口上时,只能同时应用一条规则.
那么就只能从原有的3001规则上下手了.下面是操作步骤:
1.首先在端口上将inbound应用停用,如果3001已经在使用中,那么rule是不可更改的
2.清空3001中的所有规则,做好备份.将permit条目放在前端,再恢复原有的规则,原因是acl匹配有一个自上而下的顺序匹配,所以必须首先permit后deny
若先匹配到如rule 25 已经是deny,那么后面无论怎么做permit,结果还是拒绝,那么调整后的顺序应当是
rule 5 permit ip source 192.168.1.10 0 destination 192.168.6.215 0
rule 10 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
rule 15 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
rule 20 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.4.0 0.0.0.255
rule 25 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.5.0 0.0.0.255
rule 30 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.6.0 0.0.0.128
3.重新应用至接口.在应用过程中注意一点
traffic behavior 上permit与deny的区别.
使用permit表示按照acl 3001的规则来进行数据放行,3001中允许那就允许,禁止那就禁止
但是若使用deny,则无论3001规则中的permit或者deny,一律全都丢弃不进行转发.
0 0
- 关于华为ACL日常维护中的一点点经验
- 关于爬虫IP代理以及日常维护
- 日常维护
- 关于DP的一点维护经验
- 关于网页页面大小的一点点小经验,仅供参考
- 关于ANT使用中的一点点疑问?
- eclipse中java调用matlab函数中的一点点经验
- 华为ACL匹配规则
- 关于ACL
- 关于代码中的密码维护
- 一点点经验(转载)1
- 一点点经验(转载)2
- 一点点人生经验分享
- 学习经验一点点。。。
- VCS日常维护指导
- oracle数据库日常维护
- Oracle数据库日常维护
- Oracle数据库日常维护
- eclipse 在线安装svn插件
- 你好!我的第一篇文字
- android camera系统3A模式及其状态转换(一)
- OpenVPN的配置
- 方法numberWithInt: 和 numberWithInteger: 使用差别
- 关于华为ACL日常维护中的一点点经验
- 在执行Ado.net SqlDataAdapter 查询超时设置
- android camera系统3A模式及其状态转换(二)
- Python Network Programming(5)---套接字超时时间
- ORA-16957: SQL Analyze time limit interrupt
- 【C/S】SVN服务器和客户端的安装
- Maven使用指南
- linux服务器安装jdk rpm版本
- STM32----------NVIC和EXTI