03 | 您所在的位置:网站首页 › h3c交换机允许ip访问端口 › 03 |
1 简介
本文档介绍了流量过滤的配置举例。 流量过滤是指对符合流分类报文采取允许通过或拒绝通过的动作。允许或拒绝流量通过的依据有源IP地址、目的IP地址、MAC地址、协议号等。 2 配置前提本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文假设您已了解流量过滤特性。 3 使用限制如果流行为配置为filter deny,则在该流行为视图下配置的其他流行为(除流量统计外)都不会生效。 4 流量过滤典型配置举例 4.1 组网需求如图1所示,某公司B、C、D三个分支机构均有市场部和财务部,且两个部门分别属于VLAN 20和VLAN 30。现要求通过配置流量过滤实现: · 拒绝市场部访问网络的HTTP流量。 · 分支机构B的Server只有Host A和Host B才能访问。 · 三个分支机构中市场部间可以互访,财务部间可以互访。 图1 流量过滤典型配置举例组网图
4.1 配置思路 可通过如下三种方式过滤市场部的HTTP流量: · 分别在Device B、Device C、Device D连接Device A的接口出方向配置拒绝源地址为192.168.4.0/24网段的HTTP流量。但网络扩展性较差,当有更多分支机构连接Device A时,需要再对新加入的分支机构的接入交换机进行配置。 · 在Device A的Ten-GigabitEthernet1/0/4接口出方向配置拒绝源地址为192.168.4.0/24网段的HTTP流量。但此方法浪费了设备的处理能力。 · 在DeviceA的VLAN 20、VLAN 30应用策略,拒绝市场部的HTTP流量,允许财务部的HTTP流量。此方法能够动态自适应网络的扩展,并且在入端口就能过滤HTTP流量,减少了DeviceA的硬件资源开销。本举例采用此配置方式。 要实现仅Host A和Host B才能访问Server,需进行如下配置: · 在Ten-GigabitEthernet1/0/1接口配置报文过滤功能,仅允许源IP为192.168.4.10和192.168.4.15的报文通过。 · 报文过滤的缺省动作为Permit,即允许未匹配上ACL规则的报文通过。因此,需配置报文过滤的缺省动作为Deny。 要使来自市场部和财务部的其他流量(除HTTP以外的流量)能够访问Internet,并且三个分支机构中市场部间可以互访,财务部间可以互访,需配置Device A的Ten-GigabitEthernet1/0/1~Ten-GigabitEthernet1/0/4接口的类型为Trunk,并允许VLAN 20、VLAN 30通过。 4.2 配置步骤 1. Device A上的配置# 创建VLAN 20和VLAN 30。 system-view [DeviceA] vlan 20 [DeviceA-vlan20]quit [DeviceA] vlan 30 # 创建批量接口组myport,并将Ten-GigabitEthernet1/0/1~Ten-GigabitEthernet1/0/4加入批量接口组。 [DeviceA] interface range name myport interface ten-gigabitethernet 1/0/1 to ten-gigabitethernet 1/0/4 # 将Ten-GigabitEthernet1/0/1~Ten-GigabitEthernet1/0/4的接口类型为trunk,并允许VLAN 20和VLAN 30通过。 [DeviceA-if-range-port] port link-type trunk [DeviceA-if-range-port] port trunk permit vlan 20 30 [DeviceA-if-range-port] undo port trunk permit vlan 1 [DeviceA-if-range-port] quit # 创建IPv4高级ACL 3000,对源IP地址为192.168.4.0/24网段的报文进行分类。 [DeviceA] acl advanced 3000 [DeviceA-acl-ipv4-adv-3000] rule permit tcp source 192.168.4.0 0.0.0.255 source-port eq 80 [DeviceA-acl-ipv4-adv-3000] quit # 创建流分类vlan20_http,匹配ACL 3000。 [DeviceA] traffic classifier vlan20_http [DeviceA-classifier-vlan20_http] if-match acl 3000 [DeviceA-classifier-vlan20_http] quit # 创建流行为vlan20_http,动作为流量过滤(deny),拒绝数据包通过。 [DeviceA] traffic behavior vlan20_http [DeviceA-behavior-vlan20_http] filter deny [DeviceA-behavior-vlan20_http] quit # 创建QoS策略,命名为vlan20_http,将流分类vlan20_http和流行为vlan20_http进行关联。 [DeviceA] qos policy vlan20_http [DeviceA-qospolicy-vlan20_http] classifier vlan20_http behavior vlan20_http [DeviceA-qospolicy-vlan20_http] quit # 将QoS策略vlan20_http应用到VLAN 20和VLAN 30。 [DeviceA] qos vlan-policy vlan20_http vlan 20 30 inbound 2. Device B上的配置# 创建IPv4基本ACL 2000,并配置允许来自Host A和Host B的报文通过的规则。 [DeviceB] acl basic 2000 [DeviceB-acl-ipv4-basic-2000] rule permit source 192.168.4.10 0 [DeviceB-acl-ipv4-basic-2000] rule permit source 192.168.4.15 0 [DeviceB-acl-ipv4-basic-2000] quit # 配置报文过滤的缺省动作为Deny,即禁止未匹配上ACL规则的报文通过。 [DeviceB] packet-filter default deny # 在Ten-GigabitEthernet1/0/1接口出方向上应用ACL2000进行报文过滤。 [DeviceB] interface ten-gigabitethernet 1/0/1 [DeviceB-Ten-GigabitEthernet1/0/1] packet-filter 2000 outbound 4.3 验证配置# 通过display qos vlan-policy命令显示Device A上基于VLAN应用的QoS策略,查看策略是否应用成功。 [DeviceA] display qos vlan-policy vlan inbound Vlan 20 Direction: Inbound Policy: vlan20_http Classifier: vlan20_http Operator: AND Rule(s) : If-match acl 3000 Behavior: vlan20_http Filter enable: Deny
Vlan 30 Direction: Inbound Policy: vlan20_http Classifier: vlan20_http Operator: AND Rule(s) : If-match acl 3000 Behavior: vlan20_http Filter enable: Deny # 通过display packet-filter verbose命令显示Device B上的报文过滤情况。 [DeviceB] display packet-filter verbose interface ten-gigabitethernet 1/0/1 outbound Interface: Ten-GigabitEthernet1/0/1 Out-bound policy: IPv4 ACL 2000 rule 0 permit source 192.168.4.10 0
IPv4 default action: Deny 4.4 配置文件· Device A: # vlan 20 # vlan 30 # interface range name myport interface Ten-GigabitEthernet1/0/1 to Ten-GigabitEthernet1/0/4 # acl advanced 3000 rule 0 permit tcp source 192.168.4.0 0.0.0.255 source-port eq www # traffic classifier vlan20_http operator and if-match acl 3000 # traffic behavior vlan20_http filter deny # qos policy vlan20_http classifier vlan20_http behavior vlan20_http # qos vlan-policy vlan20_http vlan 20 inbound qos vlan-policy vlan20_http vlan 30 inbound # interface Ten-GigabitEthernet1/0/1 port link-mode bridge port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan 20 30 # interface Ten-GigabitEthernet1/0/2 port link-mode bridge port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan 20 30 # interface Ten-GigabitEthernet1/0/3 port link-mode bridge port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan 20 30 # interface Ten-GigabitEthernet1/0/4 port link-mode bridge port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan 20 30 · Device B: # acl basic 2000 rule 0 permit source 192.168.4.10 0 # packet-filter default deny # interface Ten-GigabitEthernet1/0/1 port link-mode bridge packet-filter 2000 outbound # 5 相关资料· H3C S7500X系列交换机 ACL和QoS配置指导-R757X · H3C S7500X系列交换机 ACL和QoS命令参考-R757X |
CopyRight 2018-2019 实验室设备网 版权所有 |