HP Switch Procurve ACL 設定

最近客戶需要在HP Switch 上設定ACL,設定完成後給自己做個紀錄,避免忘記

幾個重點介紹
1.HP  ACL Standard & Extended 簡易比較
2.Wildcard計算方式
3.ACL IN OUT 觀念
4.HP Switch ACL 設定
1.HP ACL Standard & Extended 簡易比較

ACL Standard
ACL Extended
ACL序號
1-99
100-199
可使用名稱
可使用協定
IP
IPTCPUDPVRRPGRE…
可使用通配遮罩
可使用子網路遮罩
驗證來源IP
驗證目的IP

Note: HP Switch ACL 不只可以使用Wildcard mask ,連Subnet mask也可使用,非常方便

2.Wildcard計算方式
透過255.255.255.255 扣除子網路遮罩(Subnet mask) 既可得到通配遮罩(Wildcard mask)

e.g. 1
使用255.255.255.255
255.255.255.255
使用子網路遮罩
255.255.255.0(/24)
Wildcard
0.0.0.255 
e.g. 2
使用255.255.255.255
255.255.255.255
使用子網路遮罩
255.255.255.240(/28)
Wildcard
0.0.0.15
e.g. 3
使用255.255.255.255
255.255.255.255
使用子網路遮罩
255.255.255.255(/32)
Wildcard
0.0.0.0
e.g. 4
使用255.255.255.255
255.255.255.255
使用子網路遮罩
255.224.0.0(/11)
Wildcard
0.31.255.255  

3.ACL IN OUT 觀念
e.g. 當User A 要連線到Server B 時,方向如下圖,
此時對於 VLAN 12  的ACL流入方向是 IN
此時對於 VLAN 11 的 ACL流入方向是 OUT

e.g. 當User A 要連線到Internet時,方向如下圖,
此時對於 VLAN 12  的ACL流入方向是 IN
此時對於 VLAN 100 的 ACL流入方向是OUT

4.HP Switch ACL 設定
e.g. 1 ACL Standard設定
不允許User A (192.168.12.1/32)任何連線,其於使用者皆可連線
設定standard 名稱

HP-E5406zl(config)# ip access-list standard deny

設定ACL規則,封鎖192.168.12.1

HP-5406zl(config-std-nacl)# deny host 192.168.12.1 

設定ACL規則,允許其他IP通過

HP-5406zl(config-std-nacl)# permit any 

檢視vlan ACL設定

HP-5406zl(config)#show access-list config
ip access-list standard "deny" 
   10 deny 192.168.12.1 0.0.0.0 
   20 permit 0.0.0.0 255.255.255.255 
   exit

確認無誤後,套用在VLAN 12上

HP-5406zl(config)#int vlan 12

Note: ACL參數必須非常小心,當配置錯誤時可能會造成網路斷線

HP-5406zl(vlan-12)# ip access-group deny in 

e.g. 2 ACL Extended設定
不允許UserA 192.168.12.1/32 使用遠端桌面連線到Server B
不允許VLAN 12 的所有主機 連線到Internet TCP 1024以上 Port
其於使用者皆可連線
設定extended名稱

HP-E5406zl(config)# ip access-list extended test

設定ACL規則,封鎖192.168.12.1/32使用遠端桌面連線到Server B

HP-5406zl(config-ext-nacl)# deny tcp 192.168.12.1 255.255.255.255 192.168.11.100 255.255.255.255 eq 3389 

設定ACL規則,封鎖192.168.12.0/24連線到Internet TCP 1024以上 Port

HP-5406zl(config-ext-nacl)# deny tcp 192.168.12.0 255.255.255.0 any gt 1024

設定ACL規則,其於使用者皆可連線

HP-5406zl(config-ext-nacl)# permit ip any any

檢視vlan ACL設定

HP-5406zl(config)#show access-list config
ip access-list extended "test" 
   10 deny tcp 192.168.12.1 255.255.255.255 192.168.11.100 255.255.255.255 eq 3389 
   20 deny tcp 192.168.12.0 255.255.255.0 0.0.0.0 255.255.255.255 gt 1024 
   30 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 
   exit

確認無誤後,套用在VLAN 11上

HP-5406zl(config)#int vlan 11

Note: ACL參數必須非常小心,當配置錯誤時可能會造成網路斷線

HP-5406zl(vlan-11)# ip access-group test out

確認無誤後,套用在VLAN 100上

HP-5406zl(config)#int vlan 100

Note: ACL參數必須非常小心,當配置錯誤時可能會造成網路斷線

HP-5406zl(vlan-100)# ip access-group test out

Refer:
http://h10032.www1.hp.com/ctg/Manual/c04490713

Facebook Comments