- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- BOB登陆 人才研學中心
- 關於我們
20-H3C VSR1000虛擬路由器ACL典型配置舉例
本章節下載: 20-H3C VSR1000虛擬路由器ACL典型配置舉例 (192.19 KB)
H3C VSR1000虛擬路由器ACL典型配置舉例
|
Copyright © 2014 杭州華三通信技術有限公司 版權所有,保留一切權利。 非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部, 並不得以任何形式傳播。本文檔中的信息可能變動,恕不另行通知。 |
|
目 錄
本文檔介紹了ACL(Access Control List,訪問控製列表)的配置舉例。
本文檔不嚴格與具體軟件版本對應,如果使用過程中與產品實際情況有差異,請參考相關產品手冊,或以設備實際情況為準。
本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。
本文假設您已了解ACL特性。
如圖1所示,研發部和管理部均部署了網絡視頻設備,這些視頻設備的MAC地址為000f-e2xx-xxxx,現要求限製這些設備僅每天的8:30到18:00才能夠向外網發送數據。
圖1 通過MAC地址過濾流量配置組網圖
本舉例是在E0301版本上進行配置和驗證的。
在受限設備的IP地址不定時,可以通過MAC地址來進行匹配;而對於具有相同MAC地址前綴的多台設備,也可以通過MAC地址掩碼的方式來進行同時匹配。
# 配置接口的IP地址。
<Device> system-view
[Device] interface gigabitethernet 1/0
[Device-GigabitEthernet1/0] ip address 10.1.1.1 24
[Device-GigabitEthernet1/0] quit
[Device] interface gigabitethernet 2/0
[Device-GigabitEthernet2/0] ip address 10.1.2.1 24
[Device-GigabitEthernet2/0] quit
[Device] interface gigabitethernet 3/0
[Device-GigabitEthernet3/0] ip address 200.1.1.2 24
[Device-GigabitEthernet3/0] quit
# 配置時間段time1,時間範圍為每天的8:30~18:00。
[Device] time-range time1 8:30 to 18:00 daily
# 創建二層ACL 4000,定義規則為在time1時間段內允許源MAC地址前綴為000f-e2的所有報文通過,其他時間拒絕。
[Device] acl number 4000
[Device-acl-ethernetframe-4000] rule permit source-mac 000f-e200-0000 ffff-ff00-0000 time-range time1
[Device-acl-ethernetframe-4000] rule deny source-mac 000f-e200-0000 ffff-ff00-0000
[Device-acl-ethernetframe-4000] quit
# 配置包過濾功能,應用二層ACL 4000對端口GigabitEthernet1/0和GigabitEthernet2/0收到的報文進行過濾。
[Device] interface gigabitethernet 1/0
[Device-GigabitEthernet1/0] packet-filter 4000 inbound
[Device-GigabitEthernet1/0] quit
[Device] interface gigabitethernet 2/0
[Device-GigabitEthernet2/0] packet-filter 4000 inbound
[Device-GigabitEthernet2/0] quit
# 配置到外網的缺省路由。
[Device] ip route-static 0.0.0.0 0.0.0.0 200.1.1.1
# 執行display packet-filter命令查看包過濾功能的應用狀態。
[Device] display packet-filter interface inbound
Interface: GigabitEthernet1/0
In-bound policy:
ACL 4000
MAC default action: Permit
Interface: GigabitEthernet2/0
In-bound policy:
ACL 4000
MAC default action: Permit
上述信息顯示GigabitEthernet1/0和GigabitEthernet2/0端口上已經正確應用了包過濾功能。
在每天的8:30到18:00時間段內,視頻設備可以正常與外網中的設備進行通信;在其它時間段內,視頻設備無法與外網中的設備進行通信。
#
interface GigabitEthernet1/0
port link-mode route
ip address 10.1.1.1 255.255.255.0
packet-filter 4000 inbound
#
interface GigabitEthernet2/0
port link-mode route
ip address 10.1.2.1 255.255.255.0
packet-filter 4000 inbound
#
interface GigabitEthernet3/0
port link-mode route
ip address 200.1.1.2 255.255.255.0
#
ip route-static 0.0.0.0 0 200.1.1.1
#
time-range time1 08:30 to 18:00 daily
#
acl number 4000
rule 0 permit source-mac 000f-e200-0000 ffff-ff00-0000 time-range time1
rule 5 deny source-mac 000f-e200-0000 ffff-ff00-0000
#
如圖2所示,某公司的網絡分成管理部、研發部和服務器三個區域,通過Device設備與Internet連接。現要求通過ACL實現:
· 管理部任意時間都可以訪問Internet和服務器,但不能訪問研發部;
· 研發部在工作時間(周一至周五的8:30~18:00)隻能訪問服務器,不能訪問Internet和管理部;非工作時間可以訪問Internet和服務器,但不能訪問管理部。
圖2 通過IP地址過濾流量配置組網圖
本舉例是在E0301版本上進行配置和驗證的。
· 為實現管理部不能訪問研發部,需要創建ACL配置規則拒絕目的地址為10.1.2.0/24的報文,在Device的GigabitEthernet3/0的入方向進行過濾;
· 為實現研發部在工作時間隻能訪問服務器,需要創建ACL配置規則隻允許目的地址為10.1.3.0/24的報文通過,並指定規則的生效時間段,在Device的GigabitEthernet2/0的入方向上進行過濾;
· 為實現研發部在非工作時間不能訪問管理部,需要創建ACL配置規則拒絕目的地址為10.1.1.0/24的報文,在Device的GigabitEthernet2/0的入方向上進行過濾;
· 缺省情況下,ACL規則的匹配順序為配置順序,因此在此例中,需要先創建指定時間段內隻允許目的地址為10.1.3.0/24報文通過的規則,再創建指定時間段內拒絕其他報文通過的規則。
# 配置接口GigabitEthernet4/0的IP地址。
<Device> system-view
[Device] interface gigabitethernet 4/0
[Device-GigabitEthernet4/0] ip address 200.1.1.2 24
[Device-GigabitEthernet4/0] quit
# 請參考以上方法配置其他接口的IP地址,具體配置步驟省略。
(2) 配置到外網的缺省路由
[Device] ip route-static 0.0.0.0 0.0.0.0 200.1.1.1
(3) 配置管理部的網絡權限
# 創建IPv4高級ACL 3000。
[Device] acl number 3000
# 創建規則,過濾目的地址為10.1.2.0/24網段的報文。
[Device-acl-adv-3000] rule deny ip destination 10.1.2.0 0.0.0.255
[Device-acl-adv-3000] quit
# 配置包過濾功能,應用IPv4高級ACL 3000對端口GigabitEthernet3/0收到的IP報文進行過濾。
[Device] interface gigabitethernet 3/0
[Device-GigabitEthernet3/0] packet-filter 3000 inbound
[Device-GigabitEthernet3/0] quit
(4) 配置研發部的網絡權限
# 配置時間段worktime,指定周一至周五的8:30~18:00為工作時間。
[Device] time-range worktime 8:30 to 18:00 working-day
# 創建IPv4高級ACL 3001。
[Device] acl number 3001
# 創建規則,允許時間段內目的地址為10.1.3.0/24網段的報文通過。
[Device-acl-adv-3001] rule permit ip destination 10.1.3.0 0.0.0.255 time-range worktime
# 創建規則,過濾時間段內其他的報文。
[Device-acl-adv-3001] rule deny ip time-range worktime
# 創建規則,過濾目的地址為10.1.1.0/24網段的報文。
[Device-acl-adv-3001] rule deny ip destination 10.1.1.0 0.0.0.255
[Device-acl-adv-3001] quit
# 配置包過濾功能,應用IPv4高級ACL 3001對端口GigabitEthernet2/0收到的IP報文進行過濾。
[Device] interface gigabitethernet 2/0
[Device-GigabitEthernet2/0] packet-filter 3001 inbound
[Device-GigabitEthernet2/0] quit
# 執行display packet-filter命令查看包過濾功能的應用狀態。
[Device] display packet-filter interface inbound
Interface: GigabitEthernet2/0
In-bound policy:
ACL 3001
IPv4 default action: Permit
Interface: GigabitEthernet3/0
In-bound policy:
ACL 3000
IPv4 default action: Permit
上述信息顯示GigabitEthernet2/0和GigabitEthernet3/0端口上已經正確應用了包過濾功能。
# 在周一的上午9:30,從研發部的某台電腦上ping Internet上某個網站(此網站僅為示例,請根據實際情況進行驗證),結果無法ping通。
C:\>ping www.abc.com
Pinging www.abc.com [199.181.132.250] with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 199.181.132.250:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
C:\>
# 在周一的上午9:30,從管理部的某台電腦上ping Internet上某個網站,結果可以ping通。
C:\>ping www.abc.com
Pinging www.abc.com [199.181.132.250] with 32 bytes of data:
Reply from 199.181.132.250: bytes=32 time=1ms TTL=122
Reply from 199.181.132.250: bytes=32 time<1ms TTL=122
Reply from 199.181.132.250: bytes=32 time<1ms TTL=122
Reply from 199.181.132.250: bytes=32 time<1ms TTL=122
Ping statistics for 199.181.132.250:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 1ms, Average = 0ms
C:\>
# 在周一的晚上19:30,從研發部的某台電腦上ping Internet上某個網站,結果可以ping通。
C:\>ping www.abc.com
Pinging www.abc.com [199.181.132.250] with 32 bytes of data:
Reply from 199.181.132.250: bytes=32 time=1ms TTL=122
Reply from 199.181.132.250: bytes=32 time<1ms TTL=122
Reply from 199.181.132.250: bytes=32 time<1ms TTL=122
Reply from 199.181.132.250: bytes=32 time<1ms TTL=122
Ping statistics for 199.181.132.250:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 1ms, Average = 0ms
C:\>
#
interface GigabitEthernet1/0
port link-mode route
ip address 10.1.3.1 255.255.255.0
#
interface GigabitEthernet2/0
port link-mode route
ip address 10.1.2.1 255.255.255.0
packet-filter 3001 inbound
#
interface GigabitEthernet3/0
port link-mode route
ip address 10.1.1.1 255.255.255.0
packet-filter 3000 inbound
#
interface GigabitEthernet4/0
port link-mode route
ip address 200.1.1.2 255.255.255.0
#
ip route-static 0.0.0.0 0 200.1.1.1
#
time-range worktime 08:30 to 18:00 working-day
#
acl number 3000
rule 0 deny ip destination 10.1.2.0 0.0.0.255
#
acl number 3001
rule 0 permit ip destination 10.1.3.0 0.0.0.255 time-range worktime
rule 5 deny ip time-range worktime
rule 10 deny ip destination 10.1.1.0 0.0.0.255
#
如圖3所示,某公司的網絡分成管理部、研發部和服務器三個區域,通過Device設備互相連接。現要求通過ACL實現:
· Web服務器隻能向管理部的主機提供HTTP服務,且僅允許由主機向服務器發起和建立TCP連接,不允許由服務器向主機發起TCP連接;
· FTP服務器隻能向研發部的主機提供FTP服務,主機與FTP服務器之間進行通信時,不對TCP連接發起方進行限製。
圖3 通過指定的TCP協議過濾流量配置組網圖
本舉例是在E0301版本上進行配置和驗證的。
· 為了實現主機與Web服務器之間進行通信時,僅允許由主機向Web服務器發起和建立TCP連接,需要在高級ACL的規則中,指定established參數,用於匹配TCP報文頭中ACK或RST置位的報文,即在已建立的TCP連接上傳輸的報文。
· 由於TCP連接發起方一般使用大於1023的TCP端口號,因此,由Web服務器向主機發送的端口號大於1023、且ACK或RST位置位的報文,應視作已經存在的TCP連接,應該允許通過。其餘的由Web服務器向主機發送的TCP報文都應拒絕通過。
· 要過濾FTP報文,需要同時拒絕FTP數據報文(TCP端口號20)和控製報文(TCP端口號21)通過。
· 要過濾HTTP服務,需要配置拒絕TCP目的端口號為80的報文(HTTP)通過的規則。
(1) 配置接口的IP地址
# 配置接口GigabitEthernet1/0的IP地址。
<Device> system-view
[Device] interface gigabitethernet 1/0
[Device-GigabitEthernet1/0] ip address 100.1.1.1 24
[Device-GigabitEthernet1/0] quit
# 請參考以上方法配置其他接口的IP地址,具體配置步驟省略。
(2) 配置管理部的網絡權限
# 創建IPv4高級ACL 3000。
[Device] acl number 3000
# 創建規則,允許源地址為100.1.1.2、目的地址為10.1.1.0/24網段、目的TCP端口號大於1023、且ACK或RST位置位的報文通過。
[Device-acl-adv-3000] rule permit tcp established source 100.1.1.2 0 destination 10.1.1.0 0.0.0.255 destination-port gt 1023
# 創建規則,拒絕源地址為100.1.1.0/24、目的地址為10.1.1.0/24網段的TCP報文通過。
[Device-acl-adv-3000] rule deny tcp source 100.1.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
# 創建規則,拒絕源地址為100.1.1.3的FTP報文通過。
[Device-acl-adv-3000] rule deny tcp source 100.1.1.3 0 source-port range 20 21
[Device-acl-adv-3000] quit
# 配置包過濾功能,應用IPv4高級ACL 3000對端口GigabitEthernet3/0發出的報文進行過濾。
[Device] interface gigabitethernet 3/0
[Device-GigabitEthernet3/0] packet-filter 3000 outbound
[Device-GigabitEthernet3/0] quit
(3) 配置研發部的網絡權限
# 創建IPv4高級ACL 3001,配置規則拒絕源地址為100.1.1.2的HTTP報文通過。
[Device] acl number 3001
[Device-acl-adv-3001] rule deny tcp source 100.1.1.2 0 source-port eq 80
[Device-acl-adv-3001] quit
# 配置包過濾功能,應用IPv4高級ACL 3001對端口GigabitEthernet2/0發出的報文進行過濾。
[Device] interface gigabitethernet 2/0
[Device-GigabitEthernet2/0] packet-filter 3001 outbound
[Device-GigabitEthernet2/0] quit
# 執行display packet-filter命令查看包過濾功能的應用狀態。
[Device] display packet-filter interface outbound
Interface: GigabitEthernet2/0
Out-bound policy:
ACL 3001
IPv4 default action: Permit
Interface: GigabitEthernet3/0
Out-bound policy:
ACL 3000
IPv4 default action: Permit
上述信息顯示GigabitEthernet2/0和GigabitEthernet3/0端口上已經正確應用了包過濾功能。
# 在管理部的主機執行telnet 100.1.1.3 21命令測試是否可以訪問FTP服務器的21端口。
C:\>telnet 100.1.1.3 21
Connecting To 100.1.1.3...Could not open connection to the host, on port 21:
Connect failed
C:\>
上述信息顯示管理部的主機無法訪問FTP服務器的21端口。
# 在管理部某台主機上設置共享文件夾,然後從Web服務器上ping該主機,可以ping通,但是無法訪問共享文件夾。
C:\>ping 10.1.1.110
Pinging 10.1.1.110 with 32 bytes of data:
Reply from 10.1.1.110: bytes=32 time=2ms TTL=128
Reply from 10.1.1.110: bytes=32 time=14ms TTL=128
Reply from 10.1.1.110: bytes=32 time=1ms TTL=128
Reply from 10.1.1.110: bytes=32 time=1ms TTL=128
Ping statistics for 10.1.1.110:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 1ms, Maximum = 14ms, Average = 4ms
C:\>
# 在研發部的主機執行telnet 100.1.1.2 80命令測試是否可以訪問Web服務器的80端口。
C:\>telnet 100.1.1.2 80
Connecting To 100.1.1.2...Could not open connection to the host, on port 80:
Connect failed
C:\>
上述信息顯示管理部的主機無法訪問FTP服務器的21端口。
#
interface GigabitEthernet1/0
port link-mode route
ip address 100.1.1.1 255.255.255.0
#
interface GigabitEthernet2/0
port link-mode route
ip address 10.1.2.1 255.255.255.0
packet-filter 3001 outbound
#
interface GigabitEthernet3/0
port link-mode route
ip address 10.1.1.1 255.255.255.0
packet-filter 3000 outbound
#
acl number 3000
rule 0 permit tcp source 100.1.1.2 0 destination 10.1.1.0 0.0.0.255 destination
-port gt 1023 established
rule 5 deny tcp source 100.1.1.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
rule 10 deny tcp source 100.1.1.3 0 source-port range ftp-data ftp
#
acl number 3001
rule 0 deny tcp source 100.1.1.2 0 source-port eq www
#
· 《H3C VSR1000虛擬路由器配置指導》中的“ACL和QoS配置指導”
· 《H3C VSR1000虛擬路由器命令參考》中的“ACL和QoS命令參考”
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
售前谘詢
售後谘詢
人工在線谘詢
