实战第二周:网络acl单向控制和双向控制就这么简单_网络策略单向和双向区别

需求：

4、wifi不能访问内外
5、服务器针对80开放，服务只能上外网
6、所有IP不能访问财务部，但财务部可以访问内网和外网
7、内网通过访问域名到服务器业务

网络拓扑：

中心思想：

1、流量的方向
流量是要一去一回的，2个方向，方向的选择需要根据需求定，去方向控制自己能干嘛，回方向控制别人能干嘛

2、节点
一个接口一个节点，节点之间作用范围不一样

3、应用到哪个节点上
满足需求情况下，离自己主机越近的节点

4、需求控制方向
a、单方向（控制自己）=流量去方向
b、双方向（控制别人）=流量回方向

---

需求4：

wifi不能访问内外（单方向）
去方向，节点最近的
LSW8交换机上配置
禁止访问内网
注意这里rule 10 要保留可扩展性，防止后面再添加需求
应用到接口，2个节点

acl 3000
rule 10 deny ip source 172.16.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
1
2

a、节点

interface Ethernet0/0/1
traffic-filter outbound acl 3000
1
2

b、节点

interface Ethernet0/0/2
traffic-filter intbound acl 3000
1
2

a节点只能满足一个IP的规则，不能满足整个网段
b节点和c节点都能满足，选择离PC最近的节点
后续会讲到基础架构理解，核心是尽量不要配置控制协议

需求5：

服务器针对80开放（双方向）

ACL 3000
rule 10 permit tcp destination 192.168.1.10 0 destination-port eq ftp 
rule 20 deny ip
 
interface Ethernet0/0/1
traffic-filter inbound acl 3000
1
2
3
4
5
6

测试下来，模拟器无法做ACL针对服务器端口，实体机是可以实现的，测试可以换成IP协议，针对IP限定，就可以看到效果

需求6：

所有IP不能访问财务部，但财务部可以访问内网

略。。。

需求7：

配置在代理的路由器上，只有配置了代理模式才能生效


作用：
类似本机的hosts文件，玩法很多
1、可以根据需求禁止掉网站，不给访问
2、针对内网服务器应用可以启用域名访问，服务器IP地址变动只需要路由器更改即可

头脑中的问题：

1、同一网段的2个接口可以做ACL控制访问吗？
2、ACL可以根据MAC地址做策略吗？
3、二层接口可以根据IP地址做策略，三层接口是否支持MAC地址来控制访问？

---

2019/09/12更新
实战第二周
Sunday, May 5, 2019
9:39 PM

第二周问题：

1、同一网段的2个接口可以做ACL控制访问吗？
可以

2、ACL可以根据MAC地址做策略吗？
可以

3、二层接口可以根据IP地址做策略，三层接口是否支持MAC地址来控制访问？
不可以

知识点：

软件ACl和硬件ACL的区别：
目前设备支持的ACL，有以下两种实现方式。:
软件ACL：针对与本机交互的报文（必须上送CPU处理的报文），由软件实现来匹配报文的ACL，比如FTP、TFTP、Telnet、SNMP、HTTP、路由 协议、组播协议中引用的ACL。
硬件ACL：针对所有报文（一般是针对转发的数据报文），通过下发硬件ACL资源来匹配报文的ACL，比如流策略、基于ACL的简化流策略、用户组以及为接口收到的报文添加外层Tag功能中引用的ACL。
两者主要区别在于：处理不同的报文类型。
前者由软件实现；后者由硬件实现。通过前者匹配报文时，会消耗CPU资源，通过后者匹配报文时则会占用硬件资源。后者匹配报文的速度更快
转载：https://forum.huawei.com/enterprise/zh/thread-250775-1-1.html

二层接口在收到单播帧后，会在MAC表中查询该数据帧的目的MAC地址，然后依据表项指引进行转发，如果没有任何表项匹配，则进行泛洪。三层接口在收到单播帧后，首先判断其目的MAC地址是否为本地MAC地址，如果是，将数据帧解封装，并解析出报文目的IP地址，然后进行路由查询及转发。因此二层接口与三层接口在数据处理行为上也存在明显差异。
参考链接：https://forum.huawei.com/enterprise/zh/thread-508447.html