华为S9300 ACL配置实例
华为S9300 ACL配置
ACL通过一系列规则对数据包进行分类,这些规则应用到S9300接口上,S9300根据这些规则判断哪些数据包可以接收,哪些数据包需要拒绝。
配置基本ACL示例
介绍基本ACL的配置过程,包括配置URPF功能、配置基本ACL规则、配置流行为、流分类和流策略等。
组网需求
如图5-282所示,Switch的GE1/0/1接口连接用户,GE2/0/1接口连接上层路由器。为防止基于源地址的欺骗,要求在GE1/0/1和GE2/0/1接口配置URPF严格检查模式,同时相信IP地址为10.0.0.2/24的用户A的流,对该用户的流去使能URPF检查功能。
图5-282 配置指定流去使能URPF功能组网图
配置思路
采用如下的思路配置指定流去使能URPF功能:
配置URPF功能。
配置ACL。
配置流分类。
配置流行为。
配置流策略。
在接口上应用流策略。
数据准备
为完成此配置举例,需要准备如下数据:
使能URPF检查的接口:GE1/0/1、GE2/0/1。
ACL编号:2000。
用户A的IP地址:10.0.0.2/24。
流分类、流行为、流量策略的名字:tc1、tb1、tp1。
应用流策略的接口:GE1/0/1。
操作步骤
配置URPF功能
# 使能接口板的URPF功能。
<Quidway> system-view
[Quidway] urpf slot 1
[Quidway] urpf slot 2
# 配置接口的URPF检查模式。
[Quidway] interface gigabitethernet 1/0/1
[Quidway-GigabitEthernet1/0/1] urpf strict
[Quidway-GigabitEthernet1/0/1] quit
[Quidway] interface gigabitethernet 2/0/1
[Quidway-GigabitEthernet2/0/1] urpf strict
[Quidway-GigabitEthernet2/0/1] quit
配置基于ACL的流分类
# 定义ACL规则。
[Quidway] acl 2000
[Quidway-acl-basic-2000] rule permit source 10.0.0.2 0.0.0.255
[Quidway-acl-basic-2000] quit
# 配置流分类,定义基于ACL的匹配规则。
[Quidway] traffic classifier tc1
[Quidway-classifier-tc1] if-match acl 2000
[Quidway-classifier-tc1] quit
配置流行为
# 定义流行为,去使能流行为视图下URPF功能。
[Quidway] traffic behavior tb1
[Quidway-behavior-tb1] ip urpf disable
[Quidway-behavior-tb1] quit
配置流策略
# 定义流策略,将流分类与流行为关联。
[Quidway] traffic policy tp1
[Quidway-trafficpolicy-tp1] classifier tc1 behavior tb1
[Quidway-trafficpolicy-tp1] quit
# 应用流策略到GE1/0/1接口。
[Quidway] interface gigabitethernet 1/0/1
[Quidway-GigabitEthernet1/0/1] traffic-policy tp1 inbound
[Quidway-GigabitEthernet1/0/1] quit
验证配置结果
# 查看ACL规则的配置信息
<Quidway> display acl 2000
Basic ACL 2000, 1 rule
Acl's step is 5
rule 5 permit source 10.0.0.0 0.0.0.255 (0 times matched)
# 查看流分类的配置信息
<Quidway> display traffic classifier user-defined
User Defined Classifier Information:
Classifier: tc1
Precedence: 20
Operator: OR
Rule(s) : if-match acl 2000
# 查看流策略的配置信息
<Quidway> display traffic policy user-defined tp1
User Defined Traffic Policy Information:
Policy: tp1
Classifier: default-class
Behavior: be
-none-
Classifier: tc1
Behavior: tb1
urpf switch: off
配置文件
#
urpf slot 1
urpf slot 2
#
acl number 2000
rule 5 permit source 10.0.0.0 0.0.0.255
#
traffic classifier tc1
if-match acl 2000
#
traffic behavior tb1
ip urpf disable
#
traffic policy tp1
classifier tc1 behavior tb1
#
interface GigabitEthernet1/0/1
urpf strict
traffic-policy tp1 inbound
#
interface GigabitEthernet2/0/1
urpf strict
#
return
配置高级ACL示例
介绍高级ACL的配置过程,包括配置生效时间段、配置高级ACL规则、配置流行为、流分类和流策略等。
组网需求
如图5-283所示,公司企业网通过Switch实现各部门之间的互连。要求正确配置IPv4 ACL,禁止研发部门和市场部门在上班时间(8:00至17:30)访问工资查询服务器(IP地址为10.164.9.9),而总裁办公室不受限制,可以随时访问。
图5-283 配置IPv4 ACL组网图
配置思路
采用如下的思路配置IPv4 ACL:
配置接口IP地址。
配置时间段。
配置ACL。
配置流分类。
配置流行为。
配置流策略。
在接口上应用流策略。
数据准备
为完成此配置举例,需要准备如下数据:
接口所属VLAN
时间段名称
ACL编号及规则
流分类名称及分类规则
流行为名称及动作
流策略名称及关联的流分类和流行为
应用流策略的接口
操作步骤
配置接口IP地址
# 配置接口加入VLAN,并配置VLANIF接口的IP地址。
规划GE1/0/1~GE1/0/3分别加入VLAN10、20、30,GE2/0/1加入VLAN100。VLANIF接口的地址取所在网段的第一个IP地址。下面配置以GE1/0/1接口为例,其他接口的配置与此类似,不再赘述。
<Quidway> system-view
[Quidway] vlan batch 10 20 30 100
[Quidway] interface gigabitethernet 1/0/1
[Quidway-GigabitEthernet1/0/1] port link-type access
[Quidway-GigabitEthernet1/0/1] port default vlan 10
[Quidway-GigabitEthernet1/0/1] quit
[Quidway] interface vlanif 10
[Quidway-Vlanif10] ip address 10.164.1.1 255.255.255.0
[Quidway-Vlanif10] quit
配置时间段
# 配置8:00至17:30的周期时间段。
<Quidway> system-view
[Quidway] time-range satime 8:00 to 17:30 working-day
配置ACL
# 配置市场部门到工资查询服务器的访问规则。
[Quidway] acl 3002
[Quidway-acl-adv-3002] rule deny ip source 10.164.2.0 0.0.0.255 destination 10.164.9.9 0.0.0.0 time-range satime
[Quidway-acl-adv-3002] quit
# 配置研发部门到工资查询服务器的访问规则。
[Quidway] acl 3003
[Quidway-acl-adv-3003] rule deny ip source 10.164.3.0 0.0.0.255 destination 10.164.9.9 0.0.0.0 time-range satime
[Quidway-acl-adv-3003] quit
配置基于ACL的流分类
# 配置流分类c_market,对匹配ACL 3002的报文进行分类。
[Quidway] traffic classifier c_market
[Quidway-classifier-c_market] if-match acl 3002
[Quidway-classifier-c_market] quit
# 配置流分类c_rd,对匹配ACL 3003的报文进行分类。
[Quidway] traffic classifier c_rd
[Quidway-classifier-c_rd] if-match acl 3003
[Quidway-classifier-c_rd] quit
配置流行为
# 配置流行为b_market,动作为拒绝报文通过。
[Quidway] traffic behavior b_market
[Quidway-behavior-b_market] deny
[Quidway-behavior-b_market] quit
# 配置流行为b_rd,动作为拒绝报文通过。
[Quidway] traffic behavior b_rd
[Quidway-behavior-b_rd] deny
[Quidway-behavior-b_rd] quit
配置流策略
# 配置流策略p_market,将流分类c_market与流行为b_market关联。
[Quidway] traffic policy p_market
[Quidway-trafficpolicy-p_market] classifier c_market behavior b_market
[Quidway-trafficpolicy-p_market] quit
# 配置流策略p_rd,将流分类c_rd与流行为b_rd关联。
[Quidway] traffic policy p_rd
[Quidway-trafficpolicy-p_rd] classifier c_rd behavior b_rd
[Quidway-trafficpolicy-p_rd] quit
应用流策略
# 将流策略p_market应用到GE1/0/2接口。
[Quidway] interface gigabitethernet 1/0/2
[Quidway-GigabitEthernet1/0/2] traffic-policy p_market inbound
[Quidway-GigabitEthernet1/0/2] quit
# 将流策略p_rd应用到GE1/0/3接口。
[Quidway] interface gigabitethernet 1/0/3
[Quidway-GigabitEthernet1/0/3] traffic-policy p_rd inbound
[Quidway-GigabitEthernet1/0/3] quit
验证配置结果
# 查看ACL规则的配置信息。
<Quidway> display acl all
Total nonempty ACL number is 2
Advanced ACL 3002, 1 rule
Acl's step is 5
rule 5 deny ip source 10.164.2.0 0.0.0.255 destination 10.164.9.9 0 time-range
satime (0 times matched)(Active)
Advanced ACL 3003, 1 rule
Acl's step is 5
rule 5 deny ip source 10.164.3.0 0.0.0.255 destination 10.164.9.9 0 time-range
satime (0 times matched)(Active)
# 查看流分类的配置信息。
<Quidway> display traffic classifier user-defined
User Defined Classifier Information:
Classifier: c_market
Precedence: 5
Operator: OR
Rule(s) : if-match acl 3002
Classifier: c_rd
Precedence: 10
Operator: OR
Rule(s) : if-match acl 3003
# 查看流策略的配置信息。
<Quidway> display traffic policy user-defined tp1
User Defined Traffic Policy Information:
Policy: p_market
Classifier: default-class
Behavior: be
-none-
Classifier: c_market
Behavior: b_market
Deny
Policy: p_rd
Classifier: default-class
Behavior: be
-none-
Classifier: c_rd
Behavior: b_rd
Deny
配置文件
#
vlan batch 10 20 30 40 100
#
time-range satime 08:00 to 17:30 working-day
#
acl number 3002
rule 5 deny ip source 10.164.2.0 0.0.0.255 destination 10.164.9.9 0 time-range
satime
#
acl number 3003
rule 5 deny ip source 10.164.3.0 0.0.0.255 destination 10.164.9.9 0 time-range
satime
#
traffic classifier c_market operator or precedence 5
if-match acl 3002
traffic classifier c_rd operator or precedence 10
if-match acl 3003
#
traffic behavior b_market
deny
traffic behavior b_rd
deny
#
traffic policy p_market
classifier c_market behavior b_market
traffic policy p_rd
classifier c_rd behavior b_rd
#
interface Vlanif10
ip address 10.164.1.1 255.255.255.0
#
interface Vlanif20
ip address 10.164.2.1 255.255.255.0
#
interface Vlanif30
ip address 10.164.3.1 255.255.255.0
#
interface Vlanif100
ip address 10.164.9.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 10
#
interface GigabitEthernet1/0/2
port link-type access
port default vlan 20
traffic-policy p_rd inbound
#
interface GigabitEthernet1/0/3
port link-type access
port default vlan 30
traffic-policy p_rd inbound
#
interface GigabitEthernet2/0/1
port link-type access
port default vlan 100
#
return
配置二层ACL示例
介绍二层ACL的配置过程,包括配置二层ACL规则、配置流行为、流分类和流策略等。
组网需求
如图5-284所示,Switch作为网关设备,下挂用户PC。要求配置ACL,禁止源MAC地址为00e0-f201-0101、目的MAC地址为0260-e207-0002的报文通过。
图5-284 配置二层ACL组网图
配置思路
采用如下的思路配置二层ACL:
配置ACL。
配置流分类。
配置流行为。
配置流策略。
在接口上应用流策略。
数据准备
为完成此配置举例,需要准备如下数据:
ACL编号及规则
流分类名称及分类规则
流行为名称及动作
流策略名称及关联的流分类和流行为
应用流策略的接口
操作步骤
配置ACL
# 配置符合要求的二层ACL。
[Quidway] acl 4000
[Quidway-acl-L2-4000] rule deny source-mac 00e0-f201-0101 ffff-ffff-ffff destination-mac 0260-e207-0002 ffff-ffff-ffff
[Quidway-acl-L2-4000] quit
配置基于ACL的流分类
# 配置流分类tc1,对匹配ACL 4000的报文进行分类。
[Quidway] traffic classifier tc1
[Quidway-classifier-tc1] if-match acl 4000
[Quidway-classifier-tc1] quit
配置流行为
# 配置流行为tb1,动作为拒绝报文通过。
[Quidway] traffic behavior tb1
[Quidway-behavior-tb1] deny
[Quidway-behavior-tb1] quit
配置流策略
# 配置流策略tp1,将流分类tc1与流行为tb1关联。
[Quidway] traffic policy tp1
[Quidway-trafficpolicy-tp1] classifier tc1 behavior tb1
[Quidway-trafficpolicy-tp1] quit
应用流策略
# 将流策略tp1应用到GE2/0/1接口。
[Quidway] interface gigabitethernet 2/0/1
[Quidway-GigabitEthernet2/0/1] traffic-policy tp1 inbound
[Quidway-GigabitEthernet2/0/1] quit
验证配置结果
# 查看ACL规则的配置信息。
<Quidway> display acl 4000
Ethernet frame ACL 4000, 1 rule
Acl's step is 5
rule 5 deny source-mac 00e0-f201-0101 ffff-ffff-ffff destination-mac 0260-e207-0002 ffff-ffff-ffff(0 times matched)
# 查看流分类的配置信息。
<Quidway> display traffic classifier user-defined
User Defined Classifier Information:
Classifier: tc1
Precedence: 15
Operator: OR
Rule(s) : if-match acl 4000
# 查看流策略的配置信息。
<Quidway> display traffic policy user-defined tp1
User Defined Traffic Policy Information:
Policy: tp1
Classifier: default-class
Behavior: be
-none-
Classifier: tc1
Behavior: tb1
Deny
配置文件
#
acl number 4000
rule 5 deny source-mac 00e0-f201-0101 ffff-ffff-ffff destination-mac 0260-e207-0002 ffff-ffff-ffff
#
traffic classifier tc1 operator or precedence 15
if-match acl 4000
#
traffic behavior tb1
deny
#
traffic policy tp1
classifier tc1 behavior tb1
#
interface GigabitEthernet2/0/1
traffic-policy tp1 inbound
#
return
配置用户自定义ACL示例
介绍用户自定义ACL的配置过程,包括配置用户自定义ACL规则、配置流行为、流分类和流策略等。
组网需求
如图5-285所示,Switch的GE1/0/1接口连接用户,GE2/0/1接口连接上层路由器。要求在接口GE1/0/1下绑定用户自定义ACL,从二层报文头偏移14个字节开始匹配,拒绝匹配成功的报文通过,匹配的字符串内容为0x0180C200。
图5-285 配置用户自定义ACL组网图
配置思路
采用如下的思路配置用户自定义ACL:
配置ACL。
配置流分类。
配置流行为。
配置流策略。
在接口下应用流策略。
数据准备
为完成此配置举例,需要准备如下数据:
ACL编号。
ACL规则。
流分类、流行为、流量策略的名称。
应用流策略的接口。
操作步骤
配置ACL
# 配置符合要求的用户自定义ACL。
[Quidway] acl 5000
[Quidway-acl-user-5000] rule deny l2-head 0x0180C200 0xFFFFFFFF 14
[Quidway-acl-user-5000] quit
配置基于用户自定义ACL的流分类
# 配置流分类tc1,对匹配ACL 5000的报文进行分类。
[Quidway] traffic classifier tc1
[Quidway-classifier-tc1] if-match acl 5000
[Quidway-classifier-tc1] quit
配置流行为
# 配置流行为tb1,动作为拒绝报文通过。
[Quidway] traffic behavior tb1
[Quidway-behavior-tb1] deny
[Quidway-behavior-tb1] quit
配置流策略
# 定义流策略,将流分类与流行为关联。
[Quidway] traffic policy tp1
[Quidway-trafficpolicy-tp1] classifier tc1 behavior tb1
[Quidway-trafficpolicy-tp1] quit
在接口下应用流策略
# 在接口GE1/0/1下应用流策略。
[Quidway] interface gigabitethernet 1/0/1
[Quidway-GigabitEthernet2/0/1] traffic-policy tp1 inbound
[Quidway-GigabitEthernet2/0/1] quit
验证配置结果
# 查看ACL规则的配置信息
<Quidway> display acl 5000
User ACL 5000, 1 rule
Acl's step is 5
rule 5 permit 0x0180c200 0xffffffff 14
# 查看流分类的配置信息
<Quidway> display traffic classifier user-defined
User Defined Classifier Information:
Classifier: tc1
Precedence: 15
Operator: OR
Rule(s) : if-match acl 5000
# 查看流策略的配置信息
<Quidway> display traffic policy user-defined tp1
User Defined Traffic Policy Information:
Policy: tp1
Classifier: default-class
Behavior: be
-none-
Classifier: tc1
Behavior: tb1
Deny
配置文件
#
acl number 5000
rule 5 permit 0x0180c200 0xffffffff 14
#
traffic classifier tc1 operator or precedence 15
if-match acl 5000
#
traffic behavior tb1
deny
#
traffic policy tp1
classifier tc1 behavior tb1
#
interface GigabitEthernet1/0/1
traffic-policy tp1 inbound
#
return
配置自反ACL示例
介绍自反ACL的配置过程,包括配置高级ACL、使能接口下的自反ACL功能和配置自反ACL老化时间等。
组网需求
如图5-286所示,Switch的接口GE1/0/1连接了内网的用户,接口GE2/0/1连接到Internet。在Switch的接口GE2/0/1的出方向上配置自反ACL功能,内网的主机先访问Internet中的服务器之后才允许Internet的服务器访问内网的主机。同时,在全局和接口GE2/0/1下配置自反ACL的老化时间,对自反ACL进行自动老化。
图5-286 配置自反ACL组网图
配置思路
采用如下的思路配置自反ACL:
配置高级ACL。
使能接口下的自反ACL功能,配置接口下自反ACL的老化时间。
配置全局自反ACL的老化时间。
数据准备
为完成此配置举例,需要准备以下数据:
高级ACL的编号。
使能自反ACL功能的接口。
接口下自反ACL的老化时间。
全局自反ACL的老化时间。
操作步骤
配置高级ACL,允许UDP报文通过
<Quidway> system-view
[Quidway] acl 3000
[Quidway-acl-adv-3000] rule permit udp
[Quidway-acl-adv-3000] quit
配置接口GE2/0/1出方向上自反ACL功能和老化时间,对UDP报文进行自反
[Quidway] interface gigabitethernet 2/0/1
[Quidway-GigabitEthernet2/0/1] traffic-reflect outbound acl 3000 timeout 600
[Quidway-GigabitEthernet2/0/1] quit
配置全局自反ACL老化时间
[Quidway] traffic-reflect timeout 900
说明:
如果接口上已经配置了自反ACL老化时间,则以接口上配置的时间为准;如果接口上没有配置自反ACL老化时间,则以该命令配置的全局老化时间为准。
验证配置结果
在系统视图下执行display traffic-reflect命令可以查看自反ACL信息。
[Quidway] display traffic-reflect outbound acl 3000
Proto SP DP DIP SIP Count Timeout Interface
------------------------------------------------------------------------------
UDP 2 80 10.2.1.10 10.1.1.10 9 600(s) GigabitEthernet2/0/1
------------------------------------------------------------------------------
* Proto=Protocol,SIP=Source IP,DIP=Destination IP,Timeout=Time to cutoff,
* SP=Source port,DP=Destination port,Count=Packets count(data).
由显示信息可知,GE2/0/1接口下对UDP协议的报文进行了自反,并且对自反后的报文进行统计。
配置文件
#
acl number 3000
rule 5 permit udp
#
interface GigabitEthernet2/0/1
traffic-reflect outbound acl 3000 timeout 600
#
traffic-reflect timeout 900
#
return
配置ACL6示例
组网需求
如图5-287所示,SwitchA通过GE接口与SwitchB相连。在SwitchA上配置ACL6规则,禁止源地址为3001::2/64的IPv6报文进入SwitchA的GE1/0/0接口。
图5-287 配置ACL6及IPv6报文过滤组网图
配置思路
采用如下的思路配置ACL6:
定义ACL6编号
定义ACL6的具体规则
定义报文过滤的分类、动作和策略
数据准备
为完成此配置举例,需要准备如下数据:
ACL6编号
允许通过的源IPv6地址
流分类、流行为、流策略的名字
应用流策略的接口
操作步骤
分别在SwitchA和SwitchB上使能IPv6转发能力,并配置接口参数
# 配置SwitchA。
<Quidway> system-view
[Quidway] sysname SwitchA
[SwitchA] ipv6
[SwitchA] interface gigabitethernet 1/0/0
[SwitchA-GigabitEthernet1/0/0] port link-type trunk
[SwitchA-GigabitEthernet1/0/0] port trunk allow-pass vlan 10
[SwitchA-GigabitEthernet1/0/0] quit
[SwitchA] interface vlanif 10
[SwitchA-Vlanif10] ipv6 enable
[SwitchA-Vlanif10] ipv6 address 3001::1 64
[SwitchA-Vlanif10] quit
# 配置SwitchA上的静态路由。
[SwitchA] ipv6 route-static 3002:: 64 3001::2
# 配置SwitchB。
<Quidway> system-view
[Quidway] sysname SwitchB
[SwitchB] ipv6
[SwitchB] interface loopback 2
[SwitchB-LoopBack2] ipv6 enable
[SwitchB-LoopBack2] ipv6 address 3002::2 64
[SwitchB-LoopBack2] quit
[SwitchB] interface gigabitethernet 1/0/0
[SwitchB-GigabitEthernet1/0/0] port link-type trunk
[SwitchB-GigabitEthernet1/0/0] port trunk allow-pass vlan 10
[SwitchB-GigabitEthernet1/0/0] quit
[SwitchB] interface vlanif 10
[SwitchB-Vlanif10] ipv6 enable
[SwitchB-Vlanif10] ipv6 address 3001::2 64
[SwitchB-Vlanif10] quit
在SwitchA上配置一个ACL6规则,并在接口上应用该规则,用于拒绝来自3001::2的IPv6报文
# 配置SwitchA。
[SwitchA] acl ipv6 number 3001
[SwitchA-acl6-adv-3001] rule deny ipv6 source 3001::2/64
[SwitchA-acl6-adv-3001] quit
[SwitchA] traffic classifier class1
[SwitchA-classifier-class1] if-match ipv6 acl 3001
[SwitchA-classifier-class1] quit
[SwitchA] traffic behavior behav1
[SwitchA-behavior-behav1] deny
[SwitchA-behavior-behav1] quit
[SwitchA] traffic policy policy1
[SwitchA-trafficpolicy-policy1] classifier class1 behavior behav1
[SwitchA-trafficpolicy-policy1] quit
[SwitchA] interface gigabitethernet 1/0/0
[SwitchA-GigabitEthernet1/0/0] traffic-policy policy1 inbound
[SwitchA-GigabitEthernet1/0/0] quit
验证配置结果
# 查看ACL6的配置信息。
<SwitchA> display acl ipv6 3001
Advanced IPv6 ACL 3001, 1 rule
rule 0 deny ipv6 source 3001::2/64
# 查看流分类的配置信息。
<SwitchA> display traffic classifier user-defined
User Defined Classifier Information:
Classifier: class1
Precedence: 5
Operator: OR
Rule(s) : if-match IPv6 acl 3001
Total classifier number is 1
# 查看流策略的配置信息。
<SwitchA> display traffic policy user-defined
User Defined Traffic Policy Information:
Policy: policy1
Classifier: class1
Operator: OR
Behavior: behav1
Deny
Total policy number is 1
配置文件
SwitchA的配置文件
#
sysname SwitchA
#
ipv6
#
acl ipv6 number 3001
rule 0 deny ipv6 source 3001::2/64
#
traffic classifier class1 operator or
if-match ipv6 acl 3001
#
traffic behavior behav1
deny
#
traffic policy policy1
classifier class1 behavior behav1
#
interface GigabitEthernet1/0/0
port link-type trunk
port trunk allow-pass vlan 10
traffic-policy policy1 inbound
#
interface Vlanif10
ipv6 enable
ipv6 address 3001::1/64
#
ipv6 route-static 3002:: 64 3001::2
#
return
SwitchB的配置文件
#
sysname SwitchB
#
ipv6
#
interface GigabitEthernet1/0/0
port link-type trunk
port trunk allow-pass vlan 10
#
interface Vlanif 10
ipv6 enable
ipv6 address 3001::2/64
#
interface LoopBack2
ipv6 enable
ipv6 address 3002::2/64
#
return
————————————————
版权声明:本文为CSDN博主「october_sz」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/weixin_38200154/article/details/72672105
浙公网安备 33010602011771号