- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
09-報文過濾配置
本章節下載: 09-報文過濾配置 (192.79 KB)
目 錄
報文過濾是ACL最基本的應用。例如,將ACL規則應用到指定接口的入或出方向上,從而對該接口收到或發出的報文進行過濾。
報文過濾配置任務如下:
· 應用ACL進行報文過濾。請選擇以下一項任務進行配置:
· (可選)配置報文過濾的缺省動作
一個接口在一個方向上最多可應用32個ACL進行報文過濾。
對於基本或高級ACL,如果未指定ipv6參數,則表示IPv4 ACL。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 在接口上應用ACL進行報文過濾。
packet-filter [ ipv6 | mac ] { acl-number | name acl-name } { inbound | outbound }
缺省情況下,未配置接口的報文過濾。
係統缺省的報文過濾動作為Permit,即允許未匹配上ACL規則的報文通過。通過本配置可更改報文過濾的缺省動作為Deny,即禁止未匹配上ACL規則的報文通過。
(1) 進入係統視圖。
system-view
(2) 配置報文過濾的缺省動作為Deny。
packet-filter default deny
缺省情況下,報文過濾的缺省動作為Permit,即允許未匹配上ACL規則的報文通過。
可在任意視圖下執行以下命令:
· 顯示報文過濾的應用情況。
display packet-filter interface [ interface-type interface-number ] [ inbound | outbound ] [ slot slot-number ]
· 顯示報文過濾的詳細應用情況。
display packet-filter verbose interface interface-type interface-number } { inbound | outbound } [ [ ipv6 | mac ] { acl-number | name acl-name } ] [ slot slot-number ]
可在任意視圖下執行以下命令:
· 顯示報文過濾的統計信息。
display packet-filter statistics interface interface-type interface-number { inbound | outbound } [ default | [ ipv6 | mac ] { acl-number | name acl-name } ] [ brief ]
· 顯示報文過濾的累加統計信息。
display packet-filter statistics sum { inbound | outbound } [ ipv6 | mac ] { acl-number | name acl-name } [ brief ]
請在用戶視圖下執行以下命令,清除報文過濾的統計信息。
reset packet-filter statistics interface [ interface-type interface-number ] { inbound | outbound } [ default | [ ipv6 | mac ] { acl-number | name acl-name } ]
· 某公司內的各部門之間通過Device實現互連,該公司的工作時間為每周工作日的8點到18點。
· 通過配置,允許總裁辦在任意時間、財務部在工作時間訪問財務數據庫服務器,禁止其它部門在任何時間、財務部在非工作時間訪問該服務器。
# 創建名為work的時間段,其時間範圍為每周工作日的8點到18點。
<Device> system-view
[Device] time-range work 08:00 to 18:00 working-day
# 創建IPv4高級ACL 3000,並製訂如下規則:允許總裁辦在任意時間、財務部在工作時間訪問財務數據庫服務器,禁止其它部門在任何時間、財務部在非工作時間訪問該服務器。
[Device] acl advanced 3000
[Device-acl-ipv4-adv-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.0.100 0
[Device-acl-ipv4-adv-3000] rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.0.100 0 time-range work
[Device-acl-ipv4-adv-3000] rule deny ip source any destination 192.168.0.100 0
[Device-acl-ipv4-adv-3000] quit
# 應用IPv4高級ACL 3000對接口GigabitEthernet0/0/1出方向上的報文進行過濾。
[Device] interface gigabitethernet 0/0/1
[Device-GigabitEthernet0/0/1] packet-filter 3000 outbound
[Device-GigabitEthernet0/0/1] quit
配置完成後,在各部門的PC(假設均為Windows XP操作係統)上可以使用ping命令檢驗配置效果,在Device上可以使用display acl命令查看ACL的配置和運行情況。例如在工作時間:
# 在財務部的PC上檢查到財務數據庫服務器是否可達。
C:\> ping 192.168.0.100
Pinging 192.168.0.100 with 32 bytes of data:
Reply from 192.168.0.100: bytes=32 time=1ms TTL=255
Reply from 192.168.0.100: bytes=32 time<1ms TTL=255
Reply from 192.168.0.100: bytes=32 time<1ms TTL=255
Reply from 192.168.0.100: bytes=32 time<1ms TTL=255
Ping statistics for 192.168.0.100:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 1ms, Average = 0ms
由此可見,財務部的PC能夠在工作時間訪問財務數據庫服務器。
# 在市場部的PC上檢查財務數據庫服務器是否可達。
C:\> ping 192.168.0.100
Pinging 192.168.0.100 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 192.168.0.100:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
由此可見,市場部的PC不能在工作時間訪問財務數據庫服務器。
# 查看IPv4高級ACL 3000的配置和運行情況。
[Device] display acl 3000
Advanced IPv4 ACL 3000, 3 rules,
ACL's step is 5
rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.0.100 0
rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.0.100 0 time-range work (Active)
rule 10 deny ip destination 192.168.0.100 0
由此可見,由於目前是工作時間,因此規則5是生效的;且由於之前使用了ping命令的緣故,規則5和規則10分別被匹配了4次。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
