■深圳 李發(fā)成

引言：Cisco交換機(jī)、路由器的訪問控制過程比較簡單、易于理解且容易操作，首先定義訪問控制列表，然后應(yīng)用于端口即可?？墒怯行┤A為交換機(jī)的配置有點(diǎn)麻煩，且不太好理解。本文以華為S9306為例來說明其配置過程。

Cisco交換機(jī)、路由器的訪問控制過程比較簡單，首先定義訪問控制列表，然后應(yīng)用于端口即可?？墒怯行┤A為交換機(jī)配置有點(diǎn)麻煩，且不太好理解。本文以華為S9306（如圖1）為例來說明其配置過程。

配置步驟分別是定義訪問控制列表、創(chuàng)建流分類、定義流行為、創(chuàng)建流策略和應(yīng)用流策略。只有定義好了這五個(gè)步驟，才能使定義的訪問控制列表生效起作用。

例如學(xué)校教室監(jiān)控，班主任可以在自己的計(jì)算機(jī)上安裝客戶端，通過給定的用戶名和密碼在線瀏覽和錄像回放教室前后的監(jiān)控?cái)?shù)據(jù)。雖然有用戶名和密碼，但其他人如果知道用戶名和密碼，也是可以訪問的。比如有一個(gè)班主任就把客戶端軟件、用戶名和密碼都給了一個(gè)家長，原因是這個(gè)家長想通過手機(jī)隨時(shí)查看自己的小孩上課的表現(xiàn)情況。但這是不被允許的，當(dāng)學(xué)校知道后要求通過對此進(jìn)行技術(shù)性限制，因?yàn)樾薷拿艽a后仍然有可能被泄漏。ACL可完全杜絕非法訪問，通過定義ACL只允許某些IP訪問某些監(jiān)控。

圖1 華為S9306

假設(shè)我們只允許在學(xué)校局域網(wǎng)內(nèi)訪問監(jiān)控?cái)?shù)據(jù)，學(xué)校辦公子網(wǎng)分別有219.223.116.0/24、219.223.117.0/24、219.223.118.0/24和219.223.119.0/24，匯 聚 合并 為219.223.116.0/22，其中教室監(jiān)控子網(wǎng)為172.16.88.0/24，定義原地址為219.223.116.0/22，目的地址為172.16.88.0/24的擴(kuò)展訪問控制。以下本文中的IP地址不代表真實(shí)的IP。

定義訪問控制列表ACL

acl number 3401 （這里使用高級(jí)訪問控制，所以ACL編號(hào)從3000開始）

rule 10 permit ip source 219.223.160.0 0.0.3.255 destination 172.16.88.0 0.0.0.255

rule 20 deny ip source any destination 172.16.88.0 0.0.0.255

其中辦公子網(wǎng)掩碼為22位，應(yīng)用于ACL中的反掩碼為：

00000000.00000000.00 000011.11111111=0.0.3.25 5。

創(chuàng)建流分類

創(chuàng)建一個(gè)流分類，并進(jìn)入流分類視圖，流分類名稱假設(shè)為“3401”，可以是任何一個(gè)有效的命名，默認(rèn)情況下流分類之間是“邏輯或”關(guān)系，即報(bào)文只需匹配流分類中的一個(gè)規(guī)則即可，優(yōu)先級(jí)默認(rèn)為5，配置結(jié)果如下：

traffic classifier 3401 operator or precedence 5

if-match acl 3401

創(chuàng)建流行為

創(chuàng)建一個(gè)流行為，進(jìn)入流行為視圖，行為名稱為“3401”，其動(dòng)作有兩個(gè)：deny或者permit，如果配置了deny 動(dòng)作，則符合流分類規(guī)則的報(bào)文都會(huì)丟棄，所以不能再配置其它動(dòng)作。如果配置了permit 動(dòng)作，則對符合流分類規(guī)則的報(bào)文采取的動(dòng)作進(jìn)行逐條匹配。

traffic behavior 3401

permit

創(chuàng)建流策略

很創(chuàng)建名為“3401”的流策略并進(jìn)入流策略視圖， 在策略中關(guān)聯(lián)流分類和動(dòng)作。

traffic policy 3401

classifier 3401 behavior 3401

應(yīng)用流策略

在全局出方向應(yīng)用流策略

traffic-policy 3401 global outbound

華為網(wǎng)絡(luò)設(shè)備是通過流分類、流行為、流策略進(jìn)行訪問控制的，如有另外的安全要求，只需要修改訪問控制列表中的內(nèi)容，而無需更改流分類、流行為和流策略中的內(nèi)容即可。