被軟通動力外派到華為,心里一直覺得沒什么歸屬感,不過能學到技術也就值了!在華為的一點經驗大家分享下。
在已經做好的ACL控制策略中,如192.168.1.0禁止訪問192.168.2.0 3.0 4.0 5.0網段
acl number 3001
rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
rule 10 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
rule 15 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.4.0 0.0.0.255
rule 20 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.5.0 0.0.0.255
rule 25 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.6.0 0.0.0.128
但是在作業需求中要重新調整,使得192.168.1.0中的某個IP如192.168.1.10需要訪問已被禁止的網段中的某個IP如192.168.6.215,那么要將1.10與6.215互通在調整程序中需要什么呢.
很顯然重建建ACL規則是不可行的,因為將規則應用到埠上時,只能同時應用一條規則.
那么就只能從原有的3001規則上下手了.下面是操作步驟:
1.首先在埠上將inbound應用停用,如果3001已經在使用中,那么rule是不可更改的
2.清空3001中的所有規則,做好備份.將permit條目放在前端,再恢復原有的規則,原因是acl匹配有一個自上而下的順序匹配,所以必須首先permit后deny
若先匹配到如rule 25 已經是deny,那么后面無論怎么做permit,結果還是拒絕,那么調整后的順序應當是
rule 5 permit ip source 192.168.1.10 0 destination 192.168.6.215 0
rule 10 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
rule 15 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
rule 20 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.4.0 0.0.0.255
rule 25 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.5.0 0.0.0.255
rule 30 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.6.0 0.0.0.128
3.重新應用至介面.在應用程序中注意一點
traffic behavior 上permit與deny的區別.
使用permit表示按照acl 3001的規則來進行資料放行,3001中允許那就允許,禁止那就禁止
但是若使用deny,則無論3001規則中的permit或者deny,一律全都丟棄不進行轉發.
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/109979.html
標籤:服務器
上一篇:關于nas
下一篇:是什么決定未來云計算的走向?