- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
32-流量過濾典型配置舉例
本章節下載: 32-流量過濾典型配置舉例 (202.54 KB)
資料版本:6W100-20190628
Copyright © 2019 bobty下载软件 版權所有,保留一切權利。
非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,並不得以任何形式傳播。
除bobty下载软件 的商標外,本手冊中出現的其它公司的商標、產品標識及商品名稱,由各自權利人擁有。
本文檔中的信息可能變動,恕不另行通知。
本文檔介紹了流量過濾的配置舉例。
流量過濾是指對符合流分類報文采取允許通過或拒絕通過的動作。允許或拒絕流量通過的依據有源IP地址、目的IP地址、MAC地址、協議號等。
本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。
本文假設您已了解流量過濾特性。
如果流行為配置為filter deny,則在該流行為視圖下配置的其他流行為(除流量統計外)都不會生效。
如圖1所示,某公司B、C、D三個分支機構均有市場部和財務部,且兩個部門分別屬於VLAN 20和VLAN 30。現要求通過配置流量過濾實現:
· 拒絕市場部訪問網絡的HTTP流量。
· 分支機構B的Server隻有Host A和Host B才能訪問。
· 三個分支機構中市場部間可以互訪,財務部間可以互訪。
可通過如下三種方式過濾市場部的HTTP流量:
· 分別在Device B、Device C、Device D連接Device A的接口出方向配置拒絕源地址為192.168.4.0/24網段的HTTP流量。但網絡擴展性較差,當有更多分支機構連接Device A時,需要再對新加入的分支機構的接入交換機進行配置。
· 在Device A的Ten-GigabitEthernet1/0/4接口出方向配置拒絕源地址為192.168.4.0/24網段的HTTP流量。但此方法浪費了設備的處理能力。
· 在DeviceA的VLAN 20、VLAN 30應用策略,拒絕市場部的HTTP流量,允許財務部的HTTP流量。此方法能夠動態自適應網絡的擴展,並且在入端口就能過濾HTTP流量,減少了DeviceA的硬件資源開銷。本舉例采用此配置方式。
要實現僅Host A和Host B才能訪問Server,需進行如下配置:
· 在Ten-GigabitEthernet1/0/1接口配置報文過濾功能,僅允許源IP為192.168.4.10和192.168.4.15的報文通過。
· 報文過濾的缺省動作為Permit,即允許未匹配上ACL規則的報文通過。因此,需配置報文過濾的缺省動作為Deny。
要使來自市場部和財務部的其他流量(除HTTP以外的流量)能夠訪問Internet,並且三個分支機構中市場部間可以互訪,財務部間可以互訪,需配置Device A的Ten-GigabitEthernet1/0/1~Ten-GigabitEthernet1/0/4接口的類型為Trunk,並允許VLAN 20、VLAN 30通過。
本舉例是在S6890-CMW710-R2712版本上進行配置和驗證的。
# 創建VLAN 20和VLAN 30。
<DeviceA> system-view
[DeviceA] vlan 20
[DeviceA-vlan20]quit
[DeviceA] vlan 30
# 創建批量接口組myport,並將Ten-GigabitEthernet1/0/1~Ten-GigabitEthernet1/0/4加入批量接口組。
[DeviceA] interface range name myport interface ten-gigabitethernet 1/0/1 to ten-gigabitethernet 1/0/4
# 將Ten-GigabitEthernet1/0/1~Ten-GigabitEthernet1/0/4的接口類型為trunk,並允許VLAN 20和VLAN 30通過。
[DeviceA-if-range-myport] port link-type trunk
[DeviceA-if-range-myport] port trunk permit vlan 20 30
[DeviceA-if-range-myport] undo port trunk permit vlan 1
[DeviceA-if-range-myport] quit
# 創建IPv4高級ACL 3000,對源IP地址為192.168.4.0/24網段的報文進行分類。
[DeviceA] acl advanced 3000
[DeviceA-acl-ipv4-adv-3000] rule deny tcp source 192.168.4.0 0.0.0.255 source-port eq 80
[DeviceA-acl-ipv4-adv-3000] quit
# 創建流分類vlan20_http,匹配ACL 3000。
[DeviceA] traffic classifier vlan20_http
[DeviceA-classifier-vlan20_http] if-match acl 3000
[DeviceA-classifier-vlan20_http] quit
# 創建流行為vlan20_http,動作為流量過濾(deny),拒絕數據包通過。
[DeviceA] traffic behavior vlan20_http
[DeviceA-behavior-vlan20_http] filter deny
[DeviceA-behavior-vlan20_http] quit
# 創建QoS策略,命名為vlan20_http,將流分類vlan20_http和流行為vlan20_http進行關聯。
[DeviceA] qos policy vlan20_http
[DeviceA-qospolicy-vlan20_http] classifier vlan20_http behavior vlan20_http
[DeviceA-qospolicy-vlan20_http] quit
# 將QoS策略vlan20_http應用到VLAN 20和VLAN 30。
[DeviceA] qos vlan-policy vlan20_http vlan 20 30 inbound
# 創建IPv4基本ACL 2000,並配置允許來自Host A和Host B的報文通過的規則。
[DeviceB] acl basic 2000
[DeviceB-acl-ipv4-basic-2000] rule permit source 192.168.4.10 0
[DeviceB-acl-ipv4-basic-2000] rule permit source 192.168.4.15 0
[DeviceB-acl-ipv4-basic-2000] quit
# 配置報文過濾的缺省動作為Deny,即禁止未匹配上ACL規則的報文通過。
[DeviceB] packet-filter default deny
# 在Ten-GigabitEthernet1/0/1接口出方向上應用ACL2000進行報文過濾。
[DeviceB] interface ten-gigabitethernet 1/0/1
[DeviceB-Ten-GigabitEthernet1/0/1] packet-filter 2000 outbound
# 通過display qos vlan-policy命令顯示Device A上基於VLAN應用的QoS策略,查看策略是否應用成功。
[DeviceA] display qos vlan-policy vlan inbound
Vlan 20
Direction: Inbound
Policy: vlan20_http
Classifier: vlan20_http
Operator: AND
Rule(s) :
If-match acl 3000
Behavior: vlan20_http
Filter enable: Deny
Vlan 30
Direction: Inbound
Policy: vlan20_http
Classifier: vlan20_http
Operator: AND
Rule(s) :
If-match acl 3000
Behavior: vlan20_http
Filter enable: Deny
# 通過display packet-filter verbose命令顯示Device B上的報文過濾情況。
[DeviceB] display packet-filter verbose interface ten-gigabitethernet 1/0/1 outbound
Interface: Ten-GigabitEthernet1/0/1
Outbound policy:
IPv4 ACL 2000
rule 0 permit source 192.168.4.10 0
IPv4 default action: Deny
· Device A:
#
vlan 20
#
vlan 30
#
interface range name myport interface Ten-GigabitEthernet1/0/1 to Ten-GigabitEthernet1/0/4
#
acl advanced 3000
rule 0 deny tcp source 192.168.4.0 0.0.0.255 source-port eq www
#
traffic classifier vlan20_http operator and
if-match acl 3000
#
traffic behavior vlan20_http
filter deny
#
qos policy vlan20_http
classifier vlan20_http behavior vlan20_http
#
qos vlan-policy vlan20_http vlan 20 inbound
qos vlan-policy vlan20_http vlan 30 inbound
#
interface Ten-GigabitEthernet1/0/1
port link-mode bridge
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 20 30
#
interface Ten-GigabitEthernet1/0/2
port link-mode bridge
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 20 30
#
interface Ten-GigabitEthernet1/0/3
port link-mode bridge
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 20 30
#
interface Ten-GigabitEthernet1/0/4
port link-mode bridge
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 20 30
· Device B:
#
acl basic 2000
rule 0 permit source 192.168.4.10 0
#
packet-filter default deny
#
interface Ten-GigabitEthernet1/0/1
port link-mode bridge
packet-filter 2000 outbound
#
· H3C S6890係列交換機 ACL和QoS配置指導(R27xx)
· H3C S6890係列交換機 ACL和QoS命令參考(R27xx)
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
