• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

公司网络优化 核心交换机做ACL实现安全策略的问题

1小时前提问
  • 0关注
  • 0收藏,42浏览
粉丝:0人 关注:0人

问题描述:

4 个回答
已采纳
粉丝:23人 关注:2人

组网现状梳理
设备:F1000-AK125 防火墙、S5500 核心、S5120 汇聚、2024D/2016D 接入、AC+POE+AP 无线
当前架构:防火墙做所有 VLAN 三层网关 + DHCP;核心 S5500 仅二层转发;无线 VLAN4000 单独路由器出口;内网安全策略、高危端口拦截全部在防火墙实现
终端规模:有线 170 台、无线 200 台,总终端近 400 台
1、VLAN 网关 & DHCP 是否全部迁移到核心 S5500?
推荐方案:网关、DHCP 统一迁移至核心 S5500,防火墙仅保留出口 NAT + 边界安全
优势
性能分担:防火墙释放大量三层转发、DHCP 地址分配压力,专注边界防攻击、外网访问控制;S5500 三层转发性能远高于防火墙内网转发吞吐量。
扩展性更强:后续新增 VLAN、地址池、三层业务无需改动防火墙配置,变更风险更低。
故障隔离:内网三层转发故障不会影响外网边界安全策略。
配套改造点
S5500 创建所有业务Vlan-interface三层接口,配置各网段网关 IP;
S5500 全局配置 DHCP 地址池,绑定对应 Vlan-interface;
S5500 配置默认路由下一跳指向防火墙内网互联 IP;
防火墙删除所有内网 VLAN 接口,仅保留和 S5500 三层互联接口,配置回程静态路由指向 S5500 三层网段。
不建议保留防火墙做网关的场景:终端持续扩容、内网跨 VLAN 访问量大。
2、内网 VLAN 单独下沉到 S5120 汇聚是否合适?
结论:不建议全部下沉,仅按需局部下沉
不推荐全量下沉弊端
三层网关分散在多台 S5120,网段路由配置分散,运维复杂;
跨机房 / 跨 S5120 互访流量必须上穿核心 S5500,若 S5120 做三层会产生路由迂回;
DHCP、ACL、安全控制多设备重复配置,一致性难保障。
合理设计
所有业务 VLAN 三层网关统一在核心 S5500;
S5120、2024D/2016D 仅作为二层透传设备,Trunk 允许对应业务 VLAN;
仅特殊独立业务(如监控、工控)可在 S5120 做本地三层,单独隔离。
3、核心交换机 S5500 与防火墙是否改为三层互联?
结论:必须改成三层互联(推荐),放弃现有二层串联架构
当前二层互联缺陷
所有内网 VLAN 广播、未知单播全部透传到防火墙,占用防火墙 CPU;
防火墙需要配置全部内网 VLAN 接口,配置臃肿、故障排查困难;
内网广播风暴会直接冲击防火墙,存在边界断网风险。
三层互联标准配置
S5500 与防火墙各拿出一个独立千兆口,三层口配置同段互联地址(例:10.0.0.1/24、10.0.0.2/24);
S5500:ip route-static 0.0.0.0 0 10.0.0.2 所有流量转发防火墙;
防火墙:静态回程路由,所有内网业务网段下一跳 10.0.0.1;
互联口只放行三层路由流量,隔绝内网广播报文。
4、无线单独路由器能否去掉,把无线出口整合到防火墙?
结论:可以拆除独立无线路由器,统一由防火墙做无线 VLAN4000 外网出口
改造方案
AC 上联 S5500 二层 Trunk,放行 VLAN4000;
S5500 创建Vlan-interface 4000三层网关,纳入统一 DHCP 地址池;
防火墙回程路由增加 VLAN4000 网段,NAT 策略同步新增无线网段访问外网;
无线、有线共用防火墙边界安全策略,统一管控上网行为、高危端口拦截;
收益
减少一台出口设备,简化拓扑,省去多设备路由维护;
有线 / 无线统一一套边界安全策略,权限管控一致;
无线流量不再经过额外路由器,转发链路缩短,降低延迟。
5、交换机 ACL 如何落地,替代原有防火墙内网安全策略?
分层 ACL 设计(核心 S5500 做内网访问控制,防火墙保留边界安全)
分层分工
核心 S5500 ACL(替代原有内网业务互访策略:shuzihua/caiwu/office/server 互访权限)
调用位置:所有业务Vlan-interface的 inbound 方向;
匹配逻辑:基于源 VLAN / 源 IP、目的服务器 IP 做允许 / 拒绝;
示例需求:财务仅能访问数据服务器、办公可访问监控 + 数据服务器,在 S5500 三层虚接口 ACL 实现跨 VLAN 访问隔离。
接入 / 汇聚 S5120/2024D ACL(端口安全、终端基础隔离)
调用位置:接入端口 inbound;
用途:限制单端口多 IP、禁止终端发起高危端口、防私接路由。
防火墙安全策略(仅保留外网边界管控)
外网 ↔ 内网访问控制、NAT、应用过滤、入侵防御、外网高危拦截。
ACL 编写规范
标准 ACL:匹配源 IP,用于端口限速、简单阻断;
高级 ACL 3000~3999:匹配源 / 目的 IP、端口、协议,实现业务互访权限;
执行顺序:精细化允许规则在前,末尾 deny all 兜底。
6、内网高危端口(21/135/139/445/3389 等)拦截,部署在 Vlanif 还是互联口?
最优分层部署方案(两处同时配置,纵深防御)
1)核心 S5500:所有业务 Vlan-interface inbound 拦截终端向外发起高危端口
作用:内网终端之间互访阻断高危端口,杜绝内网病毒横向扩散;
位置:每个业务Vlan-interface入方向高级 ACL,禁止源终端主动发起 135/445/3389 等端口访问任意内网地址。
2)S5500 ↔ 防火墙三层互联口 inbound(防火墙侧)
作用:拦截内网向外网发起高危端口请求,同时阻断外网主动访问内网高危端口;
补充:防火墙安全策略同步封禁对外高危端口,双层防护。
不推荐仅在互联口拦截的缺陷
如果只在防火墙互联口封禁,内网病毒仍可通过 445/135 在内网各 VLAN 横向传播,无法阻断内网横向渗透。
整体优化后标准架构总结
三层核心:S5500 承担全部内网 VLAN 网关、DHCP、内网 ACL 业务互访隔离、内网高危端口拦截;
三层边界:S5500 与 F1000 三层互联,防火墙仅负责外网出口 NAT、边界安全、外网攻击防御;
无线整合:拆除独立无线路由器,VLAN4000 无线流量统一走核心 + 防火墙出口;
二层接入:S5120、2024D/2016D、AC/POE 仅做二层转发,接入端口配置简易 ACL 做终端管控;
纵深安全:内网横向高危端口在核心 Vlanif 拦截,内外网边界高危端口在防火墙拦截,业务访问权限由核心交换机 ACL 实现。
补充风险提示
网关、DHCP 迁移属于重大变更,需窗口操作,提前导出新旧配置,做好回滚方案;
三层互联改造后,需完整测试跨 VLAN 互访、无线上网、服务器访问、打印、监控等全部业务;
ACL 批量部署前先在测试 VLAN 验证,避免 deny all 导致业务全断。

vlanif端口 能做多个ACL引用吗?还是每个ACL都配置一遍高危端口?

无聊的发 发表时间:1小时前 更多>>

vlanif端口 能做多个ACL引用吗?还是每个ACL都配置一遍高危端口?

无聊的发 发表时间:1小时前
Xcheng 九段
粉丝:136人 关注:3人

标准组网

核心网关加基础ACL【基于五元组控制,如禁止445,禁止跨网段等】

核心到FW走三层


建议搞清楚需求联系供应商沟通最佳方案吧

回复无聊的发:

摇人沟通细节吧,就目前信息1 2句能说清楚啥哦

Xcheng 发表时间:1小时前 更多>>

内网适合做到S5120吗 还是全是在S5500?

无聊的发 发表时间:1小时前

很久远的设备了 目前就想改到核心去 做禁止跨网段 高危端口感觉不是特别比较 内网几乎都是二层傻瓜了

无聊的发 发表时间:1小时前
回复无聊的发:

摇人沟通细节吧,就目前信息1 2句能说清楚啥哦

Xcheng 发表时间:1小时前
粉丝:12人 关注:9人

以下是核心交换机ACL安全策略配置关键步骤及命令:
1. 创建ACL(以IPv4为例)
标准ACL(仅匹配源IP):

acl number 2000
rule permit source 192.168.1.0 0.0.0.255
rule deny source any

扩展ACL(匹配源/目的IP、端口、协议):

acl number 3000
rule permit tcp source 192.168.1.0 0.0.0.255 destination 10.0.0.1 0 destination-port eq 80
rule deny ip source any destination any

2. 应用ACL到接口(入方向或出方向)
interface GigabitEthernet 1/0/1
traffic-filter inbound acl 3000 // 入方向应用
traffic-filter outbound acl 2000 // 出方向应用
3. 验证ACL配置
查看ACL规则:

display acl 3000

查看接口ACL应用:

display traffic-filter interface GigabitEthernet 1/0/1

注意事项
扩展ACL建议在靠近源的接口应用,减少不必要流量转发;
ACL规则按顺序匹配,匹配即停止,需合理规划规则顺序;
生产环境建议先测试ACL规则,避免影响业务。

高危端口ACL做到互联端口上? 禁止访问做到VLANIF上吗

无聊的发 发表时间:1小时前 更多>>

高危端口ACL做到互联端口上? 禁止访问做到VLANIF上吗

无聊的发 发表时间:1小时前
粉丝:25人 关注:1人

在核心交换机上使用ACL(访问控制列表)实现安全策略,是进行网络隔离和访问控制的一种高效且常见的做法

💡 为什么推荐在核心交换机上做ACL?

因为核心交换机通常是所有业务网段的三层网关,所有跨网段的流量都必须经过它。在这里做控制,可以实现“一次拦截,全局生效”,效率最高,无需将内网流量绕行到路由器再回来,避免了带宽浪费和延迟

📝 核心配置思路与步骤

核心配置思想是:在需要被限制的VLAN接口的入方向(inbound)应用ACL,控制进入该网段的流量

第一步:创建高级ACL

使用编号在 3000~3999 之间的IPv4高级ACL

bash
<H3C> system-view [H3C] acl number 3000

第二步:编写ACL规则

规则的顺序至关重要,设备会从上到下依次匹配。通常遵循“先精确匹配放行或拒绝,最后允许所有”的原则。

关键语法说明

  • rule [编号] {permit | deny} ip source [源地址] [通配符掩码] destination [目的地址] [通配符掩码]

  • 通配符掩码:用于指定一个地址范围,与子网掩码作用相反(0表示精确匹配,1表示忽略)。例如,192.168.1.0 0.0.0.255 代表 192.168.1.0/24 网段。

第三步:应用ACL到VLAN接口

在对应的VLAN接口视图下,使用 packet-filter 命令应用ACL。通常应用在 inbound(入方向),以控制进入该VLAN的流量

bash
[H3C] interface Vlan-interface 10 [H3C-Vlan-interface10] packet-filter 3000 inbound

🎯 常见需求配置案例

场景一:限制访客网络(VLAN 51)不能访问内网,只能上网

bash
# 1. 创建ACL 3001 [H3C] acl number 3001 # 2. 拒绝访客网段访问常见内网私有地址段 [H3C-acl-ipv4-adv-3001] rule 5 deny ip source 10.15.51.0 0.0.0.255 destination 10.0.0.0 0.255.255.255 [H3C-acl-ipv4-adv-3001] rule 10 deny ip source 10.15.51.0 0.0.0.255 destination 172.16.0.0 0.15.255.255 [H3C-acl-ipv4-adv-3001] rule 15 deny ip source 10.15.51.0 0.0.0.255 destination 192.168.0.0 0.0.255.255 # 3. 允许其他所有流量(用于上网) [H3C-acl-ipv4-adv-3001] rule 20 permit ip [H3C-acl-ipv4-adv-3001] quit # 4. 在VLAN 51的接口入方向应用ACL [H3C] interface Vlan-interface 51 [H3C-Vlan-interface51] packet-filter 3001 inbound

场景二:只允许特定部门(VLAN 10)访问服务器(VLAN 100),禁止其他访问

bash
# 1. 创建ACL 3002 [H3C] acl number 3002 # 2. 允许VLAN 10访问服务器所在网段 [H3C-acl-ipv4-adv-3002] rule 5 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.100.0 0.0.0.255 # 3. 拒绝所有其他访问(隐含规则,在V7平台需手动配置) [H3C-acl-ipv4-adv-3002] rule 10 deny ip [H3C-acl-ipv4-adv-3002] quit # 4. 在非VLAN 10的其他VLAN接口入方向应用此ACL

说明:将此ACL应用到除VLAN 10外的其他所有VLAN接口的入方向,即可实现“只允许VLAN 10访问服务器”的效果。

⚠️ 重要注意事项

  • ACL的默认行为:在Comware V7平台上,ACL默认行为是拒绝所有(deny)。因此,如果没有最后一条permit ip规则,所有未匹配的流量都会被丢弃

  • ACL应用的生效方向

    • inbound:控制进入该VLAN接口的流量。

    • outbound:控制离开该VLAN接口的流量

  • 小心“放行所有”规则:在需要严格管控的场景,最后一条 permit ip 可能会放行你不希望放行的流量。请根据实际需求决定是否添加。

  • 配置保存:配置完成后,务必执行 save 命令保存配置

  • 先测试再部署:在现网部署前,强烈建议在测试环境中验证ACL规则,避免因配置错误导致网络中断。

  • 注意ACL资源限制:不同型号的交换机支持的ACL规则数量有限,配置过多规则可能耗尽硬件资源。

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明