据运维同事反馈,华为NE40的黑名单在实际配置中没有生效。恰巧,公司近日又购置了一批NE40设备。因此,黑名单这个功能和一些需要测试的功能一同测试了下。
黑名单
配置黑名单,将不安全的报文依据ACL规则加入到黑名单中,以便后续对其提供较小的带宽。
如果用户认为某些IP的报文不应该被上送到CPU,或者认定某些报文是非法报文,可以通过设置ACL规则将其加入到黑名单中,将之丢弃。黑名单中的用户都需要手动配置,没有缺省用户。
基础配置
1、配置黑名单
2、调用策略
测试过程
1、ping测试
测试过程中发现,无论是否调用cpu-defend-policy,都能ping通。
查阅文档,发现板卡自带icmp快回功能,也就是说板卡处理了icmp请求,没有提交cpu处理,因此,测试结果都是ping通的。
板卡下关闭icmp快回功能后,再次测试,无法正常ping通。
2、telnet测试
使用telnet测试,调用黑名单后,效果如下图所示。
关闭tcpsyn-flood,重新调用,效果如下图所示。
查看tcp session,如下图所示。
此时抓包发现已经建立了三次握手,且在不断的TCP重传。
取消黑名单策略,能够正常访问了。
查看tcp session,如下图所示。
猜测是板卡处理三次握手,之后提交cpu处理。由于黑名单,板卡不上传cpu处理,cpu不知道已经建立了连接,所以tcp status看不见。也就是说,其实设备已经和目标建立了TCP连接,只是我们看不到。
全局策略
和普通的CBQ一样,不同的是,全局CBQ能够作用在设备所有的接口上。
配置过程
测试结果
测试时,发现无论是否开启icmp快回,都无法ping通。这是因为策略是下发到板卡的,转发平面已经处理完了。
总结:通过以上测试,我们可以发现全局策略的方式在访问控制方面比黑名单更彻底,也更安全。因为全局策略作用在转发平面,而黑名单作用在转发平面上传控制平面的时候。
