H3CNE学习---ACL、IRF

一、ACL访问控制

  1、ACL有三种类型

    1)标准ACL:根据数据包的源IP地址来允许或拒绝数据包。标准ACL的访问控制列表号是1~99。
    2)扩展ACL:根据数据包的源IP地址、目的IP地址、指定协议、端口和标志来允许或拒绝数据包。扩展ACL的访问控制列表号是100~199.
    3)命名ACL允许在标准ACL和扩展ACL中使用名称代替表号。
  ACL依靠规则对数据包执行检查,而这些规则通过检查数据包中的指定字段来允许或拒绝数据包。ACL通过五个元素来执行检查,这些元素位于IP头部和传输层头部中。他们分别是源IP地址、目标IP地址、协议、源端口及目标端口。

  2、ACL匹配顺序

    1)按rule-id从小到大的顺序进行匹配

    2)自动排序(auto)

    • 使用”深度优先“的原则进行匹配

    

  2、基本acl配置实例

  

   R2配置:基本acl拒绝PC1访问172.16.10.0网络

[R2]acl basic 2000
[R2-acl-ipv4-basic-2000]rule deny source 192.168.10.1 0               根据源地址匹配
[R2-acl-ipv4-basic-2000]int g0/1
[R2-GigabitEthernet0/1]packet-filter 2000 outbound                    包过滤规则
[R2]display acl all
Basic IPv4 ACL 2000, 1 rule,
ACL's step is 5
rule 0 deny source 192.168.10.1 0 (2 times matched)                   两次被匹配

   R2配置:高级acl拒绝PC1ping PC2,但是允许其telnet访问PC2

[R2]acl advanced 3000
[R2-acl-ipv4-adv-3000]rule deny icmp source 192.168.10.0 0.0.0.255 destination 172.16.10.1 0   匹配源和地址
[R2-acl-ipv4-adv-3000]int g0/1
[R2-GigabitEthernet0/1]packet-filter 3000 outbound                                             出接口调用,一个接口只能调用一条acl规则

   R2配置:高级acl拒绝源地址172.16.2.3 telnet访问12.0.0.2 

[R2-acl-ipv4-adv-3000]rule deny tcp source 172.16.2.3 0 destination 12.0.0.2 0 destination-port eq telnet

 二、IRF

  1、简介

    IRF(Intelligent Resilient Framework,智能弹性架构)是H3C自主研发的软件虚拟化技术,它的核心思想是将多台设备通过物理IRF端口连接在一起,进行必要的配置后,虚拟化成一台“虚拟设备”,

  通过该“虚拟设备”来实现多台设备的协同工作、统一管理和不间断维护。

  2、IRF形成条件

  在配置IRF前,S10500必须满足以下条件,否则不能形成IRF:

    1)本系列交换机仅能与相同系列的交换机之间建立IRF。

    2)IRF中所有成员设备的主控板型号必须相同。

    3)IRF中所有成员设备的软件版本必须相同,如果有软件版本不同的设备要加入IRF,请确保IRF的启动文件同步加载功能处于使能状态;

    4)如果两个IRF的桥MAC地址相同,请修改其中一个IRF的桥MAC地址,否则,它们不能合并为一个IRF;

    5)在多台设备形成IRF之前,请确保各设备上最大等价路由条数的配置保持一致。

    6)在多台设备形成IRF之前,请确保各设备的工作模式相同。

  3、优点

    1)简化管理

    2)高可用性

    3)灵活扩展网络

  4、基本配置演示

    IRF必须要使用万兆接口10GE

  

   SW1配置:

[SW1]int range Ten-GigabitEthernet 1/0/50 Ten-GigabitEthernet 1/0/51
[SW1-if-range]shutdown                                                                加入IRF的端口状态必须是shutdown
[SW1]irf member 1 renumber 1                                              
[SW1]irf member 1 priority 32                                                         设置优先级,确保此设备为master
[SW1]irf-port 1/1                                                                     irf端口,1代表member号,1代表第一台设备
[SW1-irf-port1/1]port group interface Ten-GigabitEthernet 1/0/50                      端口加入irf端口
[SW1-irf-port1/1]port group interface Ten-GigabitEthernet 1/0/51                      端口加入irf端口
[SW1]int range Ten-GigabitEthernet 1/0/50 Ten-GigabitEthernet 1/0/51                    
[SW1-if-range]undo shutdown                                                           启用端口
<SW1>save                                                                             保存配置

  SW2配置:

[SW2]int range Ten-GigabitEthernet 2/0/50 Ten-GigabitEthernet 2/0/51                 
[SW2-if-range]shutdown
[SW2]irf member 1 renumber 2                                                           设置meber号为2
<SW2>save                                                                              保存配置
<SW2>reboot                                                                            重启设备
[SW2]irf-port 2/2                                                                      创建irf端口
[SW2-irf-port2/2]port group interface Ten-GigabitEthernet 2/0/50                       加入irf端口
[SW2-irf-port2/2]port group interface Ten-GigabitEthernet 2/0/51                       加入irf端口
[SW2]int range Ten-GigabitEthernet 2/0/50 Ten-GigabitEthernet 2/0/51
[SW1-if-range]undo shutdown                                                            启用端口
<SW1>save                                                                              一定记得保存配置

  激活配置:

[SW1]irf-port-configuration active                                                     最后再激活配置
[SW2]irf-port-configuration active                                                     激活从设备时,会重启此设备

 

posted @ 2020-10-24 12:40  人走茶良  阅读(617)  评论(0编辑  收藏  举报
推荐:华为云