ACL:访问控制列表,案例演示教程网络

印迹7月前 335

作为一名网络工程师,相信在配置网络设备时要使用到ACL对设备进行有目的的控制,初学者对ACL的解释可以认为是路由器和交换机接口的指令列表,用来控制端口进出的数据包,告诉路由器哪些数据包可以接收、哪些数据包需要拒绝,保证网络资源不被非法使用和访问,下面将用一个案例来帮助大家巩固加深了解。

本文将介绍如何配置H3C交换机典型(ACL)访问控制列表:

一、首先理解清楚组网需求:

1.通过配置基本访问控制列表,实现在每天8:00~18:00时间段内对源IP为10.1.1.2主机发出报文的过滤;

2.要求配置高级访问控制列表,禁止研发部门与技术支援部门之间互访,并限制研发部门在上班时间8:00至18:00访问工资查询服务器

3.通过二层访问控制列表,实现在每天8:00~18:00时间段内对源MAC为00e0-fc01-0101的报文进行过滤。

二:画出组网的网络拓布图

ACL(访问控制列表)经典案例演示_ACL_访问控制_系统运维_课课家

三、基本的配置步骤:

H3C3600,5600,5100系列交换机典型访问控制列表配置

共用配置

步骤一:我们可以根据组网图,首先是要创建四个vlan,然后再对应加入各个端口中,按着步骤一步步来:

<H3C>system-view
[H3C]vlan10
[H3C-vlan10]port GigabitEtherNET1/0/1
[H3C-vlan10]vlan20
[H3C-vlan20]port GigabitEthernet1/0/2
[H3C-vlan20]vlan30
[H3C-vlan30]port GigabitEthernet1/0/3
[H3C-vlan30]vlan40
[H3C-vlan40]port GigabitEthernet1/0/4
[H3C-vlan40]quit

步骤二:配置各VLAN虚接口地址,需要注意命令不要打错,接口也需要搞清楚:

[H3C]interfacevlan10
[H3C-Vlan-interface10]ip address 10.1.1.124
[H3C-Vlan-interface10]quit
[H3C]interface vlan20
[H3C-Vlan-interface20]ip address 10.1.2.124
[H3C-Vlan-interface20]quit
[H3C]interface vlan30
[H3C-Vlan-interface30]ip address 10.1.3.124
[H3C-Vlan-interface30]quit
[H3C]interface vlan40
[H3C-Vlan-interface40]ip address 10.1.4.124
[H3C-Vlan-interface40]quit

步骤三:根据组网的要求,实现在每天8:00~18:00时间段内对源IP为10.1.1.2主机发出报文的过滤;所以这一步是要定义时间段。

[H3C]time-range huawei 8:00 to 18:00 working-day
需求1配置(基本的ACL配置)

1.首先是要进入2000号的基本访问控制列表视图,按照下面的命令进入

[H3C-GigabitEthernet1/0/1]acl number 2000

2.根据需求,然后再定义访问规则过滤10.1.1.2主机发出的报文

[H3C-acl-basic-2000]rule 1 deny source 10.1.1.20 time-range Huawei

3.在接口上应用2000号ACL,依次输入下面的命令

[H3C-acl-basic-2000]interface GigabitEthernet1/0/1
[H3C-GigabitEthernet1/0/1]packet-filter inbound ip-group 2000
[H3C-GigabitEthernet1/0/1]quit
需求2配置(属于高级ACL配置)

1.首先是要进入3000号的高级访问控制列表视图,输入下面的命令

[H3C]acl number 3000

2.然后根据需求,去定义访问规则禁止研发部门与技术支援部门之间互访

[H3C-acl-adv-3000]rule 1 deny iP Source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

3.根据要求,需要去定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器

[H3C-acl-adv-3000]rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range Huawei
[H3C-acl-adv-3000]quit

4.在接口上用3000号ACL

[H3C-acl-adv-3000]interface GigabitEthernet1/0/2
[H3C-GigabitEthernet1/0/2]packet-filter inbound ip-group3000
需求3配置(需要进行二层ACL配置)

1.跟前面的步骤一样,需要进入4000号的二层访问控制列表视图

[H3C]acl number 4000

2.依据组网的要求定义访问规则过滤源MAC为00e0-fc01-0101的报文

[H3C-acl-ethernetframe-4000]rule 1 deny source 00e0-fc01-0101 ffff-ffff-ffff time-range Huawei

3.在接口上应用4000号ACL

[H3C-acl-ethernetframe-4000]interface GigabitEthernet1/0/4
[H3C-GigabitEthernet1/0/4]packet-filter inbound link-group 4000
2H3C5500-SI36105510系列交换机典型访问控制列表配置

需求2配置

1.和上面的配置一样进入3000号的高级访问控制列表视图

[H3C]acl number 3000

2.定义访问规则禁止研发部门与技术支援部门之间互访

[H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

3.定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器

[H3C-acl-adv-3000]rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range Huawei
[H3C-acl-adv-3000]quit

4.定义流分类

[H3C]traffic classifier abc
[H3C-classifier-abc]if-match acl 3000
[H3C-classifier-abc]quit

5.定义流行为,确定禁止符合流分类的报文

[H3C]traffic behavior abc
[H3C-behavior-abc]filter deny
[H3C-behavior-abc]quit

6.定义Qos策略,将流分类和流行为进行关联

[H3C]qos policy abc
[H3C-qospolicy-abc]classifier abc behavior abc
[H3C-qospolicy-abc]quit

7.在端口下发Qospolicy

[H3C]interface g1/1/2
[H3C-GigabitEthernet1/1/2]qos apply policy abc inbound

ACL

需要补充说明的几点是:

1.ACL只用来区分数据流,但是permit与deny它是由filter确定;

2.在配置的操作中如果是遇到一个端口同时有permit和deny的数据流出现的话,这时就需要分别定义流分类和流行为,并在同一QoS策略中进行关联的一个操作;

3.需要知道的是QoS策略会按照配置顺序将报文和classifier相匹配,当报文和某一个classifier匹配后,执行该classifier所对应的behavior,执行完之后就会结束了,不会再匹配剩下的classifier;

4.如果是将QoS策略应用到端口后,系统不允许对应修改义流分类、流行为以及QoS策略,直到取消下发为止。

最后来看看配置关键点:

1.time-name它是可以自由定义;

2.当你去设置访问控制规则以后,需要做的是一定要把规则应用到相应接口上,当你应用的时候就需要去注意inbound方向应与rule中source和destination对应;

3.需要知道的是S5600系列交换机只支持inbound方向的规则,所以要注意应用接口的选择;

总结:访问控制列表是一个比较实用的功能,利用访问控制列表(ACL)可以限制网络流量、提高网络性能。比如常见的有:ACL可以根据数据包的协议,指定数据包的优先级,并且ACL还将会提供对通信流量的控制手段等,熟练的操作才会发挥其中的功能作用



http://www.virplus.com/thread-1407.htm
转载请注明:7月前 于 VirPlus 发表

推荐阅读
最新回复 (0)

    ( 登录 ) 后,可以发表评论!

    返回