H3CNE学习---ACL、IRF

一、ACL访问控制

　　1、ACL有三种类型

　　　　1）标准ACL：根据数据包的源IP地址来允许或拒绝数据包。标准ACL的访问控制列表号是1~99。
　　　　2）扩展ACL：根据数据包的源IP地址、目的IP地址、指定协议、端口和标志来允许或拒绝数据包。扩展ACL的访问控制列表号是100~199.
　　　　3）命名ACL允许在标准ACL和扩展ACL中使用名称代替表号。
　　ACL依靠规则对数据包执行检查，而这些规则通过检查数据包中的指定字段来允许或拒绝数据包。ACL通过五个元素来执行检查，这些元素位于IP头部和传输层头部中。他们分别是源IP地址、目标IP地址、协议、源端口及目标端口。

　　2、ACL匹配顺序

　　　　1）按rule-id从小到大的顺序进行匹配

　　　　2）自动排序（auto）

• 使用”深度优先“的原则进行匹配

　　　　

　　2、基本acl配置实例

　　

 　　R2配置：基本acl拒绝PC1访问172.16.10.0网络

[R2]acl basic 2000
[R2-acl-ipv4-basic-2000]rule deny source 192.168.10.1 0               根据源地址匹配
[R2-acl-ipv4-basic-2000]int g0/1
[R2-GigabitEthernet0/1]packet-filter 2000 outbound                    包过滤规则
[R2]display acl all
Basic IPv4 ACL 2000, 1 rule,
ACL's step is 5
rule 0 deny source 192.168.10.1 0 (2 times matched)                   两次被匹配

 　　R2配置：高级acl拒绝PC1ping PC2，但是允许其telnet访问PC2

[R2]acl advanced 3000
[R2-acl-ipv4-adv-3000]rule deny icmp source 192.168.10.0 0.0.0.255 destination 172.16.10.1 0   匹配源和地址
[R2-acl-ipv4-adv-3000]int g0/1
[R2-GigabitEthernet0/1]packet-filter 3000 outbound                                             出接口调用，一个接口只能调用一条acl规则

 　　R2配置：高级acl拒绝源地址172.16.2.3 telnet访问12.0.0.2 

[R2-acl-ipv4-adv-3000]rule deny tcp source 172.16.2.3 0 destination 12.0.0.2 0 destination-port eq telnet

 二、IRF

　　1、简介

　　　　IRF（Intelligent Resilient Framework，智能弹性架构）是H3C自主研发的软件虚拟化技术，它的核心思想是将多台设备通过物理IRF端口连接在一起，进行必要的配置后，虚拟化成一台“虚拟设备”，

　　通过该“虚拟设备”来实现多台设备的协同工作、统一管理和不间断维护。

　　2、IRF形成条件

　　在配置IRF前，S10500必须满足以下条件，否则不能形成IRF：

　　　　1）本系列交换机仅能与相同系列的交换机之间建立IRF。

　　　　2）IRF中所有成员设备的主控板型号必须相同。

　　　　3）IRF中所有成员设备的软件版本必须相同，如果有软件版本不同的设备要加入IRF，请确保IRF的启动文件同步加载功能处于使能状态；

　　　　4）如果两个IRF的桥MAC地址相同，请修改其中一个IRF的桥MAC地址，否则，它们不能合并为一个IRF；

　　　　5）在多台设备形成IRF之前，请确保各设备上最大等价路由条数的配置保持一致。

　　　　6）在多台设备形成IRF之前，请确保各设备的工作模式相同。

　　3、优点

　　　　1）简化管理

　　　　2）高可用性

　　　　3）灵活扩展网络

　　4、基本配置演示

　　　　IRF必须要使用万兆接口10GE

　　

 　　SW1配置：

[SW1]int range Ten-GigabitEthernet 1/0/50 Ten-GigabitEthernet 1/0/51
[SW1-if-range]shutdown                                                                加入IRF的端口状态必须是shutdown
[SW1]irf member 1 renumber 1                                              
[SW1]irf member 1 priority 32                                                         设置优先级，确保此设备为master
[SW1]irf-port 1/1                                                                     irf端口，1代表member号，1代表第一台设备
[SW1-irf-port1/1]port group interface Ten-GigabitEthernet 1/0/50                      端口加入irf端口
[SW1-irf-port1/1]port group interface Ten-GigabitEthernet 1/0/51                      端口加入irf端口
[SW1]int range Ten-GigabitEthernet 1/0/50 Ten-GigabitEthernet 1/0/51                    
[SW1-if-range]undo shutdown                                                           启用端口
<SW1>save                                                                             保存配置

　　SW2配置：

[SW2]int range Ten-GigabitEthernet 2/0/50 Ten-GigabitEthernet 2/0/51                 
[SW2-if-range]shutdown
[SW2]irf member 1 renumber 2                                                           设置meber号为2
<SW2>save                                                                              保存配置
<SW2>reboot                                                                            重启设备
[SW2]irf-port 2/2                                                                      创建irf端口
[SW2-irf-port2/2]port group interface Ten-GigabitEthernet 2/0/50                       加入irf端口
[SW2-irf-port2/2]port group interface Ten-GigabitEthernet 2/0/51                       加入irf端口
[SW2]int range Ten-GigabitEthernet 2/0/50 Ten-GigabitEthernet 2/0/51
[SW1-if-range]undo shutdown                                                            启用端口
<SW1>save                                                                              一定记得保存配置

　　激活配置：

[SW1]irf-port-configuration active                                                     最后再激活配置
[SW2]irf-port-configuration active                                                     激活从设备时，会重启此设备