交换机设备封堵161端口方法

交换机设备在信息安全扫描检查中往往有封堵端口的需求，这边介绍了两种常见的封堵方法，在多个局点测试有效。

设备被漏洞扫描时，可通过local pbr指向黑洞或copp两种方法来防止设备对https的端口回包，但一线有个特殊需求，因为其网络为ipv6 underlay ，ipv4 overlay，目的是希望在v6部分地址回复https报文，全部禁止v4回https报文。

举例来说，除了FE80:9999::/64地址可以访问设备443端口，其他的ip不论v4和v6地址段都不能访问，则交换机回包时只有目的地址为FE80:9999::/64源端口为443可以回包。

一、使用local pbr禁用回包，如有vpn acl需加上对应vpn，并且由于禁用回包，所以报文的acl需要反过来，即源ip变目的ip，目的port变成源的port：

ipv4 acl配置

acl  advanced 3004

rule 15 permit udp source-port eq 443

#

ip policy-based-route cc permit node 20

if-match acl 3004

apply output-interface NULL0  // 所有IPV4 source-port eq 443的流量统统指向黑洞

#

如果还需要限制v6地址，就再做一个v6

acl  ipv6 advanced 3003

rule 15 permit udp destination FE80:9999:: 64 source-port eq 443

#

acl  ipv6 advanced 3004

rule 15 permit udp source-port eq 443

#

Ipv6  policy-based-route cc permit node 10

if-match acl 3003   //只允许命中FE80:9999:: 64 source-port  eq 443回包

#

ipv6  policy-based-route cc permit node 20

if-match acl 3004

apply output-interface NULL0  // 其他ipv6 source-port eq 443的流量统统指向黑洞

#

全局应用好，分别应用

ip local policy-based-route cc

ipv6 local policy-based-route cc

二、使用copp禁用，需要版本支持，如使用此方法请在操作前沟通后方产线，这个是一个qos策略，写两CB对，分别进行permit和deny,之后在端口所在业务板比如control-plane slot 0，qos apply policy XXX inbound：

先v4

acl  advanced 3004

rule 15 permit udp destination-port eq 443

#

traffic cl 2

if-match acl 3004

#

traffic be 2

filter deny

#

再写v6

Acl ipv6  advanced 3003

rule 15 permit udp source FE80:9999:: 64 destination -port eq 443

#

Acl ipv6  advanced 3004

rule 15 permit udp destination-port eq 443

#

traffic cl 3

if-match acl ipv6 3003

#

traffic be 3

filter permit

#

traffic cl 4

if-match acl ipv6 3004

#

traffic be 4

filter deny

#

Qos policy deny_443

cl 2 be 2//所有 ipv4 destination-port eq 443的流量统统干掉

cl 3 be 3// ipv6 destination-port eq 443的source FE80:9999:: 64 destination -port eq 443允许上cpu

cl 4 be 4// 其他ipv6 destination-port eq 443的流量统统干掉

#

其他未命中流量继续上cpu

control-plane slot 0

qos apply policy deny_443 inbound