跳转至

H3C ACL规则 inbound 与 outbound 使用场景

2025-02-07 by dongnan

环境描述

  • HCL: 5.10.3
  • H3C: s6850-cmw710-boot-t7064p15.bin

问题描述

网络拓扑图

当前网络与ACL均是正常使用的,那么为什么Trust-Core交换机使用了 inbound 方向 ,而Trust-WX交换机却使用了 outbound 方向?

核心交换机 ACL

核心交换机:Trust-Core

# 创建 ACL
acl mac 4001
rule 0 permit source-mac 2a27-xxxx-0f06 ffff-ffff-ffff
rule 0 comment "allow vlan 168"
rule 10000 deny
quit

# 应用 ACL
int Vlan-interface 168
packet-filter mac 4001 inbound
quit

注意,inbound 方向。

接入层交换机 ACL

核心交换机:Trust-WX

# 创建 ACL
acl mac 4003
rule 0 permit source-mac 2ab7-xxxx-0c06 ffff-ffff-ffff
rule 0 comment "this is vlan165"
rule 10000 deny
quit

# 应用 ACL
int xge1/0/49
packet-filter mac 4003 outbound
quit

注意,outbound 方向。

问题分析

Trust-Core 核心交换机和 Trust-WX 接入层交换机应用 ACL 的方式和方向不同,主要原因与流量的来源和流向的不同有关。

  1. 核心交换机(Trust-Core) 使用 inbound:

    • 核心交换机的角色是连接多个网络或设备。在这个场景中,Vlan-interface 168 是核心交换机的一部分,它管理来自不同设备、不同 VLAN 或子网的流量。
    • 由于核心交换机位于网络的中心,它接收到来自多个设备的流量,这些设备可能位于不同的交换机、不同的 VLAN 或子网中。因此,在核心交换机上,ACL 会检查从其他设备或 VLAN 到达 VLAN 168 的流量。
    • inbound ACL 被用来控制进入核心交换机上指定接口的流量。这是在流量进入该接口之前进行检查,决定是否允许进入。

  2. 接入层交换机(Trust-WX) 使用 outbound:

    • 接入层交换机主要负责将终端设备连接到网络,它连接到核心交换机或者其他交换机,并提供对外网络的接入。
    • 在例子中,int xge1/0/49 是一个接入其他网络设备的端口。ACL 在这种情况下控制的是从接入层设备发出的流量,即从接入层交换机发送到核心交换机或其他网络的流量。
    • outbound ACL 被用来控制从接入交换机上指定接口发出的流量。这会检查接入设备(如电脑、无线接入点等)发送到核心交换机的流量,决定是否允许数据流出接入层。

为什么方向不同?

  • 核心交换机(inbound):核心交换机的角色是集中的、汇聚多个网络或设备的流量,它需要控制流量是否可以从网络其他部分进入 VLAN 168。所以使用 inbound,让 ACL 检查进入核心交换机的流量。

  • 接入交换机(outbound):接入交换机的主要任务是处理终端设备和核心交换机之间的流量。ACL 被用来控制从接入交换机到核心交换机的流量,确保只有符合规定的流量能够通过该接口。

流量的方向和作用

  • 核心交换机的 inbound:ACL 检查从其他交换机、路由器或者终端设备(例如从接入层交换机)传入核心交换机 VLAN 168 的流量。这是控制进入核心的流量,通常核心交换机会基于各个终端设备的 MAC 地址进行控制,确保流量可以正确地到达 VLAN 168。

  • 接入交换机的 outbound:ACL 检查从接入交换机发往核心交换机或其他网络设备的流量。通常接入交换机控制的是终端设备到核心网络的访问,因此需要在此控制哪些设备可以向核心交换机发送流量

小结

  1. 核心交换机上使用 inbound 是因为 ACL 的作用是控制从外部到核心的流量(即,进入核心的流量),
  2. 接入交换机上使用 outbound 是因为 ACL 的作用是控制从接入层到核心交换机的流量(即,离开接入交换机的流量)。

网络架构设计

所以在常规的网络架构设计中,核心交换机通常需要使用 inbound 方向来控制进入核心交换机的流量, 而 接入层交换机使用 outbound 方向来控制从接入层设备发出的流量。这种设计是基于交换机在网络中的角色和流量的流向:

核心交换机

核心交换机位于网络的中心,它连接多个网络和设备。核心交换机上的 inbound ACL 主要用于控制进入核心网络的流量。这些流量可能来自于接入层交换机、其他 VLAN 或其他网络设备。通过 inbound ACL,核心交换机可以决定是否允许从外部网络或设备进入核心 VLAN 168 的流量。

接入层交换机

接入层交换机连接终端设备(如 PC、Wi-Fi 设备等),并将这些设备的流量转发到核心交换机或其他网络。接入交换机的 outbound ACL 主要用于控制从接入层设备发往核心交换机或外部网络的流量。通过 outbound ACL,接入交换机可以决定哪些终端设备可以发送流量到核心交换机。

参考

  • ChatGPT
回到页面顶部