作为一名网络工程师,相信在配置网络设备时要使用到ACL对设备进行有目的的控制,初学者对ACL的解释可以认为是路由器和交换机接口的指令列表,用来控制端口进出的数据包,告诉路由器哪些数据包可以接收、哪些数据包需要拒绝,保证网络资源不被非法使用和访问,下面将用一个案例来帮助大家巩固加深了解。
本文将介绍如何配置H3C交换机典型(ACL)访问控制列表:
一、首先理解清楚组网需求:
1.通过配置基本访问控制列表,实现在每天8:00~18:00时间段内对源IP为10.1.1.2主机发出报文的过滤;
2.要求配置高级访问控制列表,禁止研发部门与技术支援部门之间互访,并限制研发部门在上班时间8:00至18:00访问工资查询服务器;
3.通过二层访问控制列表,实现在每天8:00~18:00时间段内对源MAC为00e0-fc01-0101的报文进行过滤。
二:画出组网的网络拓布图
三、基本的配置步骤:
H3C3600,5600,5100系列交换机典型访问控制列表配置
共用配置
步骤一:我们可以根据组网图,首先是要创建四个vlan,然后再对应加入各个端口中,按着步骤一步步来:
<H3C>system-view [H3C]vlan10 [H3C-vlan10]port GigabitEtherNET1/0/1 [H3C-vlan10]vlan20 [H3C-vlan20]port GigabitEthernet1/0/2 [H3C-vlan20]vlan30 [H3C-vlan30]port GigabitEthernet1/0/3 [H3C-vlan30]vlan40 [H3C-vlan40]port GigabitEthernet1/0/4 [H3C-vlan40]quit
步骤二:配置各VLAN虚接口地址,需要注意命令不要打错,接口也需要搞清楚:
[H3C]interfacevlan10 [H3C-Vlan-interface10]ip address 10.1.1.124 [H3C-Vlan-interface10]quit [H3C]interface vlan20 [H3C-Vlan-interface20]ip address 10.1.2.124 [H3C-Vlan-interface20]quit [H3C]interface vlan30 [H3C-Vlan-interface30]ip address 10.1.3.124 [H3C-Vlan-interface30]quit [H3C]interface vlan40 [H3C-Vlan-interface40]ip address 10.1.4.124 [H3C-Vlan-interface40]quit
步骤三:根据组网的要求,实现在每天8:00~18:00时间段内对源IP为10.1.1.2主机发出报文的过滤;所以这一步是要定义时间段。
[H3C]time-range huawei 8:00 to 18:00 working-day
需求1配置(基本的ACL配置)
1.首先是要进入2000号的基本访问控制列表视图,按照下面的命令进入
[H3C-GigabitEthernet1/0/1]acl number 2000
2.根据需求,然后再定义访问规则过滤10.1.1.2主机发出的报文
[H3C-acl-basic-2000]rule 1 deny source 10.1.1.20 time-range Huawei
3.在接口上应用2000号ACL,依次输入下面的命令
[H3C-acl-basic-2000]interface GigabitEthernet1/0/1 [H3C-GigabitEthernet1/0/1]packet-filter inbound ip-group 2000 [H3C-GigabitEthernet1/0/1]quit
需求2配置(属于高级ACL配置)
1.首先是要进入3000号的高级访问控制列表视图,输入下面的命令
[H3C]acl number 3000
2.然后根据需求,去定义访问规则禁止研发部门与技术支援部门之间互访
[H3C-acl-adv-3000]rule 1 deny iP Source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
3.根据要求,需要去定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器
[H3C-acl-adv-3000]rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range Huawei [H3C-acl-adv-3000]quit
4.在接口上用3000号ACL
[H3C-acl-adv-3000]interface GigabitEthernet1/0/2 [H3C-GigabitEthernet1/0/2]packet-filter inbound ip-group3000
需求3配置(需要进行二层ACL配置)
1.跟前面的步骤一样,需要进入4000号的二层访问控制列表视图
[H3C]acl number 4000
2.依据组网的要求定义访问规则过滤源MAC为00e0-fc01-0101的报文
[H3C-acl-ethernetframe-4000]rule 1 deny source 00e0-fc01-0101 ffff-ffff-ffff time-range Huawei
3.在接口上应用4000号ACL
[H3C-acl-ethernetframe-4000]interface GigabitEthernet1/0/4 [H3C-GigabitEthernet1/0/4]packet-filter inbound link-group 4000
2H3C5500-SI36105510系列交换机典型访问控制列表配置
需求2配置
1.和上面的配置一样进入3000号的高级访问控制列表视图
[H3C]acl number 3000
2.定义访问规则禁止研发部门与技术支援部门之间互访
[H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
3.定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器
[H3C-acl-adv-3000]rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range Huawei [H3C-acl-adv-3000]quit
4.定义流分类
[H3C]traffic classifier abc [H3C-classifier-abc]if-match acl 3000 [H3C-classifier-abc]quit
5.定义流行为,确定禁止符合流分类的报文
[H3C]traffic behavior abc [H3C-behavior-abc]filter deny [H3C-behavior-abc]quit
6.定义Qos策略,将流分类和流行为进行关联
[H3C]qos policy abc [H3C-qospolicy-abc]classifier abc behavior abc [H3C-qospolicy-abc]quit
7.在端口下发Qospolicy
[H3C]interface g1/1/2 [H3C-GigabitEthernet1/1/2]qos apply policy abc inbound
需要补充说明的几点是:
1.ACL只用来区分数据流,但是permit与deny它是由filter确定;
2.在配置的操作中如果是遇到一个端口同时有permit和deny的数据流出现的话,这时就需要分别定义流分类和流行为,并在同一QoS策略中进行关联的一个操作;
3.需要知道的是QoS策略会按照配置顺序将报文和classifier相匹配,当报文和某一个classifier匹配后,执行该classifier所对应的behavior,执行完之后就会结束了,不会再匹配剩下的classifier;
4.如果是将QoS策略应用到端口后,系统不允许对应修改义流分类、流行为以及QoS策略,直到取消下发为止。
最后来看看配置关键点:
1.time-name它是可以自由定义;
2.当你去设置访问控制规则以后,需要做的是一定要把规则应用到相应接口上,当你应用的时候就需要去注意inbound方向应与rule中source和destination对应;
3.需要知道的是S5600系列交换机只支持inbound方向的规则,所以要注意应用接口的选择;
总结:访问控制列表是一个比较实用的功能,利用访问控制列表(ACL)可以限制网络流量、提高网络性能。比如常见的有:ACL可以根据数据包的协议,指定数据包的优先级,并且ACL还将会提供对通信流量的控制手段等,熟练的操作才会发挥其中的功能作用
http://www.savh.cn/thread-1407.htm
转载请注明:Savh.Cn 发表
