公司買了好多Quidway S2318TP-EI,用于連接配接用戶端電腦。一直也相安無事。上周,倉庫的的員工要通路合作夥伴公司的伺服器。通過internet通路太慢,索性我就拉了一條光纖連接配接到他們的辦公室,拉過去才發現,他們那邊是用幾個tp-link加上ADSL modem上網的。通過ADSL modem自動配置設定IP位址,我們這邊也是自動配置設定IP位址的。
這下子好了,由于兩邊的網絡都是二層,我們的員工能擷取到他們的IP位址,他們的也能擷取到我們的網絡IP位址。更要命的是,兩個區域網路IP位址網段還相同。天煞的!
怎麼辦?首先想到在我們的Quidway S2318TP-EI上做ACL,進行過濾。由于對華為的裝置不熟悉,是以要摸索一下。由于我們隻要通路他們的端口為25004的一台伺服器,其他都不用通路,是以,我們寫了一個通路清單,然後配合traffice policy進行配置。如下:
acl number 3002
rule 1 permit tcp source-port eq 25004 //因為隻能做inbound顧慮,是以隻能這樣寫了。
#
traffic classifier tc02_suqi
if-match acl 3002
traffic behavior tb02_suqi
permit
traffic policy tp01_suqi
classifier tc02_suqi behavior tb02_suqi
interface Ethernet0/0/16
description to_SuQi_server
port default vlan 1
traffic-policy tp01_suqi inbound //應用政策
配置後,進行測試,你猜怎麼着?和沒有配置policy一樣。難道我是因為我不熟悉導緻配的不對還是?有點不敢想了。
後來仔細看文檔,發現,如果behavior是permit,此時對應的acl清單,不管是deny還是permit,結果都是permit。
如果behavior是deny,此時對應的acl清單,不管是deny還是permit,結果都是deny。
這是有個疑問,當behavior是permit時,預設操作是什麼?就是沒有寫的,是拒絕還是允許?
帶着這個疑問,隻能一步一步測試了。關鍵是網上的資料還是比較少,針對這個問題的更少了。
經過測試發現:
behavior是permit,此時對應的acl清單,不管是deny還是permit,結果都是permit。預設操作還是permit。這個最奇葩了。不明白這個有何意義?
behavior是deny,此時對應的acl清單,不管是deny還是permit,結果都是deny。預設是permit。
既然這個知道,我就隻能這樣寫了:
rule 1 deny udp destination-port eq bootps //為了讓雙方擷取到對方的IP位址。阻止DHCP包
rule 2 deny udp destination-port eq bootpc//為了讓雙方擷取到對方的IP位址。阻止DHCP包
rule 3 deny udp source-port eq bootps//為了讓雙方擷取到對方的IP位址。阻止DHCP包
rule 4 deny udp source-port eq bootpc//為了讓雙方擷取到對方的IP位址。阻止DHCP包
rule 5 deny tcp source-port eq 445 //拒絕通路檔案共享通路
rule 6 deny tcp source-port eq telnet //拒絕telnet
rule 7 deny tcp source-port eq www //拒絕通路他們的80web伺服器。
//預設是permit,沒有寫的都允許。
deny
traffic-policy tp01_suqi inbound //入方向過濾。