ACL(访问控制列表)经典案例演示
作者:课课家教育更新于: 2016-08-18 14:41:35
如果你是一名网络工程师,相信在你配置网络设备的时候肯定有使用过ACL对设备进行一个有目的控制,如果是刚起步的学习者,或者不太知道ACL到底是什么东西,ACL我们对它的解释就是路由器和交换机接口的指令列表,用来控制端口进出的数据包,告诉路由器哪些数据包可以接收、哪些数据包需要拒绝,保证网络资源不被非法使用和访问,下面将为大家用一个案例来帮助大家巩固加深了解。
本文将介绍如何配置H3C交换机典型(ACL)访问控制列表,这种机型案例相信大家会经常遇得到,我们一起,来研究一下!
一、首先理解清楚组网需求:
1.通过配置基本访问控制列表,实现在每天8:00~18:00时间段内对源IP为10.1.1.2主机发出报文的过滤;
2.要求配置高级访问控制列表,禁止研发部门与技术支援部门之间互访,并限制研发部门在上班时间8:00至18:00访问工资查询服务器;
3.通过二层访问控制列表,实现在每天8:00~18:00时间段内对源MAC为00e0-fc01-0101的报文进行过滤。
二:画出组网的网络拓布图
三、基本的配置步骤:
H3C3600,5600,5100系列交换机典型访问控制列表配置
共用配置
步骤一:我们可以根据组网图,首先是要创建四个vlan,然后再对应加入各个端口中,按着步骤一步步来!
[H3C]vlan10
[H3C-vlan10]portGigabitEtherNET1/0/1
[H3C-vlan10]vlan20
[H3C-vlan20]portGigabitEthernet1/0/2
[H3C-vlan20]vlan30
[H3C-vlan30]portGigabitEthernet1/0/3
[H3C-vlan30]vlan40
[H3C-vlan40]portGigabitEthernet1/0/4
[H3C-vlan40]quit
步骤二:配置各VLAN虚接口地址,需要注意命令不要打错,接口也需要搞清楚!
[H3C]interfacevlan10
[H3C-Vlan-interface10]ipaddress10.1.1.124
[H3C-Vlan-interface10]quit
[H3C]interfacevlan20
[H3C-Vlan-interface20]ipaddress10.1.2.124
[H3C-Vlan-interface20]quit
[H3C]interfacevlan30
[H3C-Vlan-interface30]ipaddress10.1.3.124
[H3C-Vlan-interface30]quit
[H3C]interfacevlan40
[H3C-Vlan-interface40]ipaddress10.1.4.124
[H3C-Vlan-interface40]quit
步骤三:根据组网的要求,实现在每天8:00~18:00时间段内对源IP为10.1.1.2主机发出报文的过滤;所以这一步是要定义时间段。
[H3C]time-rangehuawei8:00to18:00working-day
需求1配置(基本的ACL配置)
1.首先是要进入2000号的基本访问控制列表视图,按照下面的命令进入
[H3C-GigabitEthernet1/0/1]aclnumber2000
2.根据需求,然后再定义访问规则过滤10.1.1.2主机发出的报文
[H3C-acl-basic-2000]rule1denysource10.1.1.20time-rangeHuawei
3.在接口上应用2000号ACL,依次输入下面的命令
[H3C-acl-basic-2000]interfaceGigabitEthernet1/0/1
[H3C-GigabitEthernet1/0/1]packet-filterinboundip-group2000
[H3C-GigabitEthernet1/0/1]quit
需求2配置(属于高级ACL配置)
1.首先是要进入3000号的高级访问控制列表视图,输入下面的命令
[H3C]aclnumber3000
2.然后根据需求,去定义访问规则禁止研发部门与技术支援部门之间互访
[H3C-acl-adv-3000]rule1denyiPSource10.1.2.00.0.0.255destination10.1.1.00.0.0.255
3.根据要求,需要去定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器
[H3C-acl-adv-3000]rule2denyipsourceanydestination129.110.1.20.0.0.0time-rangeHuawei
[H3C-acl-adv-3000]quit
4.在接口上用3000号ACL
[H3C-acl-adv-3000]interfaceGigabitEthernet1/0/2
[H3C-GigabitEthernet1/0/2]packet-filterinboundip-group3000
需求3配置(需要进行二层ACL配置)
1.跟前面的步骤一样,需要进入4000号的二层访问控制列表视图
[H3C]aclnumber4000
2.依据组网的要求定义访问规则过滤源MAC为00e0-fc01-0101的报文
[H3C-acl-ethernetframe-4000]rule1denysource00e0-fc01-0101ffff-ffff-fffftime-rangeHuawei
3.在接口上应用4000号ACL
[H3C-acl-ethernetframe-4000]interfaceGigabitEthernet1/0/4
[H3C-GigabitEthernet1/0/4]packet-filterinboundlink-group4000
2H3C5500-SI36105510系列交换机典型访问控制列表配置
需求2配置
1.和上面的配置一样进入3000号的高级访问控制列表视图
[H3C]aclnumber3000
2.定义访问规则禁止研发部门与技术支援部门之间互访
[H3C-acl-adv-3000]rule1denyipsource10.1.2.00.0.0.255destination10.1.1.00.0.0.255
3.定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器
[H3C-acl-adv-3000]rule2denyipsourceanydestination129.110.1.20.0.0.0time-rangeHuawei
[H3C-acl-adv-3000]quit
4.定义流分类
[H3C]trafficclassifierabc
[H3C-classifier-abc]if-matchacl3000
[H3C-classifier-abc]quit
5.定义流行为,确定禁止符合流分类的报文
[H3C]trafficbehaviorabc
[H3C-behavior-abc]filterdeny
[H3C-behavior-abc]quit
6.定义Qos策略,将流分类和流行为进行关联
[H3C]qospolicyabc
[H3C-qospolicy-abc]classifierabcbehaviorabc
[H3C-qospolicy-abc]quit
7.在端口下发Qospolicy
[H3C]interfaceg1/1/2
[H3C-GigabitEthernet1/1/2]qosapplypolicyabcinbound
需要补充说明的几点是:
1.ACL只是用来区分数据流,但是permit与deny它是由filter确定;
2.在配置的操作中如果是遇到一个端口同时有permit和deny的数据流出现的话,这个时候我们就需要分别定义流分类和流行为,并在同一QoS策略中进行关联的一个操作;
3.需要知道的是QoS策略会按照配置顺序将报文和classifier相匹配,当报文和某一个classifier匹配后,执行该classifier所对应的behavior,执行完之后就会结束了,不会再匹配剩下的classifier;
4.如果是将QoS策略应用到端口后,系统不允许对应修改义流分类、流行为以及QoS策略,直到取消下发为止。
最后来看看配置关键点:
1.time-name它是可以自由定义;
2.当你去设置访问控制规则以后,需要做的是一定要把规则应用到相应接口上,当你应用的时候就需要去注意inbound方向应与rule中source和destination对应;
3.需要知道的是S5600系列交换机只支持inbound方向的规则,所以要注意应用接口的选择;
总结:访问控制列表是一个比较实用的功能,利用访问控制列表(ACL)可以限制网络流量、提高网络性能。比如常见的有:ACL可以根据数据包的协议,指定数据包的优先级,并且ACL还将会提供对通信流量的控制手段等,熟练的操作才会发挥其中的功能作用!
¥1888.00
¥5999.00
¥10500.00
¥49.00
¥499.00
