Vlan访问控制ACL

Author:Jin
Date:2014-07-05

一、情况描述
调整前
TP-LINK上联光猫 WLAN PPPOE 拨号，LAN 192.168.1.1 DHCP功能 提供给目前在7楼的办公
TP-LINK下联华为S5700S三层交换 当二层，下面再挂了5个二层交换机

调整需求
设备变更：
增加硬件防火墙拿掉TPLINK
业务变更：
划分3个vlan
vlan1 原来192.168.1公司人员使用
vlan2 给访客 无线AP
vlan6 6楼有线和无线 临时将场地借给合作方公司用一段时间
访问控制
vlan2 vlan6不能访问vlan1
vlan2 vlan6 相互不能访问
合作方离开后vlan6可以访问vlan1 给新的团队用

调整后
防火墙：
SSG140 0/1成一个组 上联光猫 连接外网拨号
SSG140 8/9 一千兆口组成一个组 配置IP 192.168.1.1 上面有DHCP Server DHCP网关192.168.1.1 下联华为S5700S三层交换
静态路由添加（不添加可以上网，但肯定无法和其他网段互通）
192.168.2.0 192.168.1.254 网口 8/9组成网卡组
192.168.6.0 192.168.1.254 网口 8/9组成网卡组
对192.168.6.0网段有网速限制
对192.168.2.0网段有网速限制

三层交换
华为S5700S三层交换上面划分三个VLAN
Vlanif1 192.168.1.254 上面没有dhcp #为了现有员工和服务器配置不变化，这里没有配置DHCP Server,由防火墙提供
Vlanif2 192.168.2.254 上面有dhcp 网关192.168.2.254
Vlanif6 192.168.6.254 上面有dhcp 网关192.168.6.254

二、问题描述
在Vlan2 Vlan6中获取的ip
可以ping通
192.168.2.254
192.168.6.254
192.168.1.254
192.168.1.1
192.168.1.120(我自己的linux测试机)

但无法192.168.1.120上的http服务，以及其他服务器的其他服务

三、排查步骤
查资源获取默认没有配置ACL的情况下 各个VLAN应该是互通的
难道是防火墙策略，防火墙上添加策略还是无法访问，而且也是信任区域，不应该有策略限制
打算抓包看看，笔记本上没有工具，网上随便下载不太安全。跳过

是不是因为192.168.1.0段没有路由回来的原因？？
C:\Users\jin>tracert -d 192.168.1.4

通过最多 30 个跃点跟踪到 192.168.1.4 的路由

1 4 ms 3 ms 7 ms 192.168.2.254
2 <1 毫秒 <1 毫秒 <1 毫秒 192.168.1.4
没有经过防火墙

但是防火墙上面指回来那条路由一定要有
如果没有的话
C:\Users\jin>tracert -d 192.168.1.4

通过最多 30 个跃点跟踪到 192.168.1.4 的路由

1 9 ms 4 ms 5 ms 192.168.6.2
2 * * * 请求超时。
3 * * * 请求超时。

分析：因为192.168.1.120网关设置的是192.168.1.1的原因？
192.168.1.120网关设置的是192.168.1.254测试

测试：
切换到vlan2或者vlan6访问
vlan2 可以访问 http://192.168.1.220:8080/Login
vlan6 可以访问 http://192.168.1.220:8080/Login

可见是目标服务器回路的问题
三层交换开启vlanif就有路由功能，两个网段网关在不同的设备上，造成问题
vlan2通过192.168.2.254(三层交换)到192.168.1.120
192.168.1.120将宝发送到192.168.1.1(防火墙)
192.168.1.1(防火墙)有目标为192.168.2.0的路由到192.168.2.254
感觉可以回来，实际无法回来。

注意：后续如果要让vlan6可以访问vlan1的服务器的话需要把vlan1中的服务器默认网关修改192.168.1.254
用户不用修改，除非要访问开发人员的开发环境。

四、禁止vlan2 vlan6访问VLAN1
1.配置ACL
acl name vlan1deny 3001
rule 5 deny icmp source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 10 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 15 deny icmp source 192.168.6.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 20 deny ip source 192.168.6.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
#禁止IP协议即可 控制三层，除非要具体控制TCP/UDP端口服务

2.定义流策略
[Quidway]traffic classifier vlan1deny
[Quidway-classifier-vlan1deny]if-match acl 3001
[Quidway-classifier-vlan1deny]quit

3.定义流动作
[Quidway]traffic behavior vlan1deny
[Quidway-behavior-vlan1deny]permit
[Quidway-behavior-vlan1deny]quit
#动作设置为permit,对应需要特殊通过的场景。这里deny和rule中的rule deny有一个，规则就是拒绝

4.引用流策略和动作
[Quidway]traffic policy vlan1deny
[Quidway-trafficpolicy-vlan1deny]classifier vlan1deny behavior vlan1deny

5.在应用到相应的端口
[Quidway]traffic-policy vlan1deny global inbound
##在设置的时候只有global可选？？？

6.测试
vlan6访问我自己办公电脑
PING
C:\Users\jin>ping 192.168.1.77

正在 Ping 192.168.1.77 具有 32 字节的数据:
Control-C
C:\Users\jin>ping 192.168.1.1

正在 Ping 192.168.1.1 具有 32 字节的数据:
请求超时。
请求超时。

HTTP
http://192.168.1.220:8080/login 无法访问

vlan2访问 无法访问

达到要求

五、禁止vlan2 vlan6访问VLAN1 但其中有个IP例外
现在对我笔记本 IP 192.168.2.199例外
因为我设置的流动作是permit 所以具体控制都在rule里控制

1.计算反掩码
下载一个工具甲酸反码
192.168.2.199 0.0.31.255
添加
acl name vlan1deny 3001
rule 25 permit ip source 192.168.2.199 0.0.31.255 destination 192.168.1.0 0.0.0.255
确认
[Quidway-acl-adv-vlan1deny]dis this
#
acl name vlan1deny 3001
rule 5 deny icmp source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 10 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 15 deny icmp source 192.168.6.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 20 deny ip source 192.168.6.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 25 permit ip source 192.168.0.0 0.0.31.255 destination 192.168.1.0 0.0.0.255

测试无法访问，反掩码有问题单个IP的反码应该为0.0.0.0
undo rule 25
rule 25 permit ip source 192.168.2.199 0.0.0.0 destination 192.168.1.0 0.0.0.255
确认
[Quidway-acl-adv-vlan1deny]dis this
#
acl name vlan1deny 3001
rule 5 deny icmp source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 10 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 15 deny icmp source 192.168.6.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 20 deny ip source 192.168.6.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 25 permit ip source 192.168.2.199 0 destination 192.168.1.0 0.0.0.255

测试还是无法访问。顺序问题？
undo rule 25
rule 0 permit ip source 192.168.2.199 0.0.0.0 destination 192.168.1.0 0.0.0.255
确认
[Quidway-acl-adv-vlan1deny]dis this
#
acl name vlan1deny 3001
rule 0 permit ip source 192.168.2.199 0 destination 192.168.1.0 0.0.0.255
rule 5 deny icmp source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 10 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 15 deny icmp source 192.168.6.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 20 deny ip source 192.168.6.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

访问测试，可以在访问了
对比测试，我修改IP为192.168.2.198看看，修改后测试无法访问

配置成功