H3CNE学习---ACL、IRF
一、ACL访问控制
1、ACL有三种类型
1)标准ACL:根据数据包的源IP地址来允许或拒绝数据包。标准ACL的访问控制列表号是1~99。
2)扩展ACL:根据数据包的源IP地址、目的IP地址、指定协议、端口和标志来允许或拒绝数据包。扩展ACL的访问控制列表号是100~199.
3)命名ACL允许在标准ACL和扩展ACL中使用名称代替表号。
ACL依靠规则对数据包执行检查,而这些规则通过检查数据包中的指定字段来允许或拒绝数据包。ACL通过五个元素来执行检查,这些元素位于IP头部和传输层头部中。他们分别是源IP地址、目标IP地址、协议、源端口及目标端口。
2、ACL匹配顺序
1)按rule-id从小到大的顺序进行匹配
2)自动排序(auto)
-
使用”深度优先“的原则进行匹配
2、基本acl配置实例
R2配置:基本acl拒绝PC1访问172.16.10.0网络
[R2]acl basic 2000 [R2-acl-ipv4-basic-2000]rule deny source 192.168.10.1 0 根据源地址匹配 [R2-acl-ipv4-basic-2000]int g0/1 [R2-GigabitEthernet0/1]packet-filter 2000 outbound 包过滤规则 [R2]display acl all Basic IPv4 ACL 2000, 1 rule, ACL's step is 5 rule 0 deny source 192.168.10.1 0 (2 times matched) 两次被匹配
R2配置:高级acl拒绝PC1ping PC2,但是允许其telnet访问PC2
[R2]acl advanced 3000 [R2-acl-ipv4-adv-3000]rule deny icmp source 192.168.10.0 0.0.0.255 destination 172.16.10.1 0 匹配源和地址 [R2-acl-ipv4-adv-3000]int g0/1 [R2-GigabitEthernet0/1]packet-filter 3000 outbound 出接口调用,一个接口只能调用一条acl规则
R2配置:高级acl拒绝源地址172.16.2.3 telnet访问12.0.0.2
[R2-acl-ipv4-adv-3000]rule deny tcp source 172.16.2.3 0 destination 12.0.0.2 0 destination-port eq telnet
二、IRF
1、简介
IRF(Intelligent Resilient Framework,智能弹性架构)是H3C自主研发的软件虚拟化技术,它的核心思想是将多台设备通过物理IRF端口连接在一起,进行必要的配置后,虚拟化成一台“虚拟设备”,
通过该“虚拟设备”来实现多台设备的协同工作、统一管理和不间断维护。
2、IRF形成条件
在配置IRF前,S10500必须满足以下条件,否则不能形成IRF:
1)本系列交换机仅能与相同系列的交换机之间建立IRF。
2)IRF中所有成员设备的主控板型号必须相同。
3)IRF中所有成员设备的软件版本必须相同,如果有软件版本不同的设备要加入IRF,请确保IRF的启动文件同步加载功能处于使能状态;
4)如果两个IRF的桥MAC地址相同,请修改其中一个IRF的桥MAC地址,否则,它们不能合并为一个IRF;
5)在多台设备形成IRF之前,请确保各设备上最大等价路由条数的配置保持一致。
6)在多台设备形成IRF之前,请确保各设备的工作模式相同。
3、优点
1)简化管理
2)高可用性
3)灵活扩展网络
4、基本配置演示
IRF必须要使用万兆接口10GE
SW1配置:
[SW1]int range Ten-GigabitEthernet 1/0/50 Ten-GigabitEthernet 1/0/51 [SW1-if-range]shutdown 加入IRF的端口状态必须是shutdown [SW1]irf member 1 renumber 1 [SW1]irf member 1 priority 32 设置优先级,确保此设备为master [SW1]irf-port 1/1 irf端口,1代表member号,1代表第一台设备 [SW1-irf-port1/1]port group interface Ten-GigabitEthernet 1/0/50 端口加入irf端口 [SW1-irf-port1/1]port group interface Ten-GigabitEthernet 1/0/51 端口加入irf端口 [SW1]int range Ten-GigabitEthernet 1/0/50 Ten-GigabitEthernet 1/0/51 [SW1-if-range]undo shutdown 启用端口 <SW1>save 保存配置
SW2配置:
[SW2]int range Ten-GigabitEthernet 2/0/50 Ten-GigabitEthernet 2/0/51 [SW2-if-range]shutdown [SW2]irf member 1 renumber 2 设置meber号为2 <SW2>save 保存配置 <SW2>reboot 重启设备 [SW2]irf-port 2/2 创建irf端口 [SW2-irf-port2/2]port group interface Ten-GigabitEthernet 2/0/50 加入irf端口 [SW2-irf-port2/2]port group interface Ten-GigabitEthernet 2/0/51 加入irf端口 [SW2]int range Ten-GigabitEthernet 2/0/50 Ten-GigabitEthernet 2/0/51 [SW1-if-range]undo shutdown 启用端口 <SW1>save 一定记得保存配置
激活配置:
[SW1]irf-port-configuration active 最后再激活配置
[SW2]irf-port-configuration active 激活从设备时,会重启此设备