■深圳 李發(fā)成

引言：Cisco交換機、路由器的訪問控制過程比較簡單、易于理解且容易操作，首先定義訪問控制列表，然后應用于端口即可?？墒怯行┤A為交換機的配置有點麻煩，且不太好理解。本文以華為S9306為例來說明其配置過程。

Cisco交換機、路由器的訪問控制過程比較簡單，首先定義訪問控制列表，然后應用于端口即可?？墒怯行┤A為交換機配置有點麻煩，且不太好理解。本文以華為S9306（如圖1）為例來說明其配置過程。

配置步驟分別是定義訪問控制列表、創(chuàng)建流分類、定義流行為、創(chuàng)建流策略和應用流策略。只有定義好了這五個步驟，才能使定義的訪問控制列表生效起作用。

例如學校教室監(jiān)控，班主任可以在自己的計算機上安裝客戶端，通過給定的用戶名和密碼在線瀏覽和錄像回放教室前后的監(jiān)控數(shù)據(jù)。雖然有用戶名和密碼，但其他人如果知道用戶名和密碼，也是可以訪問的。比如有一個班主任就把客戶端軟件、用戶名和密碼都給了一個家長，原因是這個家長想通過手機隨時查看自己的小孩上課的表現(xiàn)情況。但這是不被允許的，當學校知道后要求通過對此進行技術(shù)性限制，因為修改密碼后仍然有可能被泄漏。ACL可完全杜絕非法訪問，通過定義ACL只允許某些IP訪問某些監(jiān)控。

圖1 華為S9306

假設我們只允許在學校局域網(wǎng)內(nèi)訪問監(jiān)控數(shù)據(jù)，學校辦公子網(wǎng)分別有219.223.116.0/24、219.223.117.0/24、219.223.118.0/24和219.223.119.0/24，匯 聚 合并 為219.223.116.0/22，其中教室監(jiān)控子網(wǎng)為172.16.88.0/24，定義原地址為219.223.116.0/22，目的地址為172.16.88.0/24的擴展訪問控制。以下本文中的IP地址不代表真實的IP。

定義訪問控制列表ACL

acl number 3401 （這里使用高級訪問控制，所以ACL編號從3000開始）

rule 10 permit ip source 219.223.160.0 0.0.3.255 destination 172.16.88.0 0.0.0.255

rule 20 deny ip source any destination 172.16.88.0 0.0.0.255

其中辦公子網(wǎng)掩碼為22位，應用于ACL中的反掩碼為：

00000000.00000000.00 000011.11111111=0.0.3.25 5。

創(chuàng)建流分類

創(chuàng)建一個流分類，并進入流分類視圖，流分類名稱假設為“3401”，可以是任何一個有效的命名，默認情況下流分類之間是“邏輯或”關(guān)系，即報文只需匹配流分類中的一個規(guī)則即可，優(yōu)先級默認為5，配置結(jié)果如下：

traffic classifier 3401 operator or precedence 5

if-match acl 3401

創(chuàng)建流行為

創(chuàng)建一個流行為，進入流行為視圖，行為名稱為“3401”，其動作有兩個：deny或者permit，如果配置了deny 動作，則符合流分類規(guī)則的報文都會丟棄，所以不能再配置其它動作。如果配置了permit 動作，則對符合流分類規(guī)則的報文采取的動作進行逐條匹配。

traffic behavior 3401

permit

創(chuàng)建流策略

很創(chuàng)建名為“3401”的流策略并進入流策略視圖， 在策略中關(guān)聯(lián)流分類和動作。

traffic policy 3401

classifier 3401 behavior 3401

應用流策略

在全局出方向應用流策略

traffic-policy 3401 global outbound

華為網(wǎng)絡設備是通過流分類、流行為、流策略進行訪問控制的，如有另外的安全要求，只需要修改訪問控制列表中的內(nèi)容，而無需更改流分類、流行為和流策略中的內(nèi)容即可。