- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
72-MSR系列路由器限制某个源MAC只允许访问网关不允许访问外网功能的配置举例
本章节下载: 72-MSR系列路由器限制某个源MAC只允许访问网关不允许访问外网功能的配置举例 (129.42 KB)
MSR系列路由器限制某个源MAC只允许访问网关不允许访问外网功能的典型配置举例
|
Copyright © 2014 杭州华三通信技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部, 并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。 |
|
目 录
本文档介绍使用QoS策略实现限制主机访问Internet的典型案例。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解QoS的特性。
如图1所示,主机通过路由器Router访问因特网Internet,网关设在Router上。
现要求通过在Router配置QoS策略以实现:
· 主机Host A,Host B和Host C都能访问网关。
· 只有Host A能访问Internet,Host B和Host C不能访问Internet。
图1 MSR路由器限制主机只能访问网关不能访问因特网功能组网图
为了实现组网需求中实现的QoS策略,需要在配置具体的流分类和流行为,绑定到QoS策略上,并应用在路由器接口上。
本举例是在Release 2311版本上进行配置和验证的。
# 配置Router的接口地址。
<Router> system-view
[Router] interface gigabitethernet 0/0
[Router-GigabitEthernet 0/0] port link-mode route
[Router-GigabitEthernet 0/0] ip address 10.1.1.1 255.255.255.0
[Router-GigabitEthernet 0/0] quit
[Router] interface gigabitethernet 0/1
[Router-GigabitEthernet 0/1] port link-mode route
[Router-GigabitEthernet 0/1] ip address 10.1.2.2 255.255.255.0
[Router-GigabitEthernet 0/1] quit
# 配置OSPF协议使网络互通。
[Router] ospf 1
[Router-ospf-1] area 0.0.0.0
[Router-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255
[Router-ospf-1-area-0.0.0.0] network 10.1.2.0 0.0.0.255
[Router-ospf-1-area-0.0.0.0] quit
[Router-ospf-1] quit
# 创建IPv4高级ACL 3000,定义规则0,允许IP报文通过,访问目的地址10.1.1.1/24。
[Router] acl number 3000
[Router-acl-adv-3000] rule 0 permit ip destination 10.1.1.1 255.255.255.0
[Router-acl-adv-3000] quit
# 定义流分类gw,匹配IPv4 ACL 3000的报文。
[Router] traffic classifier gw
[Router-classifier-gw] if-match acl 3000
[Router-classifier-gw] quit
# 定义流分类mac,匹配源MAC地址为Host B的MAC地址0015-c50d-2222或Host C 的MAC地址0015-c50d-3333的报文。
[Router] traffic classifier mac operator or
[Router-classifier-mac] if-match source-mac 0015-c50d-2222
[Router-classifier-mac] if-match source-mac 0015-c50d-3333
[Router-classifier-mac] quit
# 定义一个名为permit的流行为,配置允许数据包的过滤动作。
[Router] traffic behavior permit
[Router-behavior-permit] filter permit
[Router-behavior-permit] quit
# 定义一个名为deny的流行为,配置丢弃数据包的过滤动作。
[Router] traffic behavior deny
[Router-behavior-deny] filter deny
[Router-behavior-deny] quit
# 定义QoS策略为myqos,在流分类gw指定采用流行为permit,流分类mac指定采用流行为deny。
[Router] qos policy myqos
[Router-qospolicy-myqos] classifier gw behavior permit
[Router-qospolicy-myqos] classifier mac behavior deny
[Router-qospolicy-myqos] quit
# 将QoS策略myqos应用到Router的接口GigabitEthernet0/0的入方向。
[Router] interface gigabitethernet 0/0
[Router-GigabitEthernet 0/0] qos apply policy myqos inbound
[Router-GigabitEthernet 0/0] quit
# 主机Host A ping 网关IP 地址10.1.1.1/24,能够ping通。
C:\Documents and Settings\Administrator> ping 10.1.1.1
Pinging 10.1.1.1 with 32 bytes of data:
Reply from 10.1.1.1: bytes=32 time=2 ms ttl=254
Reply from 10.1.1.1: bytes=32 time=1 ms ttl=254
Reply from 10.1.1.1: bytes=32 time=1 ms ttl=254
Reply from 10.1.1.1: bytes=32 time=1 ms ttl=254
Ping statistics for 10.1.1.1:
Packets: Sent =4, Received = 4,Lost = 0 (0% loss)
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 2ms, Average = 1ms
# 主机Host B和Host C ping 网关IP 地址10.1.1.1/24,都能够ping通。
C:\Documents and Settings\Administrator> ping 10.1.1.1
Pinging 10.1.1.1 with 32 bytes of data:
Reply from 10.1.1.1: bytes=32 time=2 ms ttl=254
Reply from 10.1.1.1: bytes=32 time=1 ms ttl=254
Reply from 10.1.1.1: bytes=32 time=1 ms ttl=254
Reply from 10.1.1.1: bytes=32 time=1 ms ttl=254
Ping statistics for 10.1.1.1:
Packets: Sent =4, Received = 4,Lost = 0 (0% loss)
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 2ms, Average = 1ms
# 主机Host A ping因特网Internet IP地址10.1.2.1/24,能够ping通。
C:\Documents and Settings\Administrator> ping 10.1.2.1
Pinging 10.1.2.1 with 32 bytes of data:
Reply from 10.1.2.1: bytes=32 time=2 ms ttl=254
Reply from 10.1.2.1: bytes=32 time=1 ms ttl=254
Reply from 10.1.2.1: bytes=32 time=1 ms ttl=254
Reply from 10.1.2.1: bytes=32 time=1 ms ttl=254
Ping statistics for 10.1.2.1:
Packets: Sent =4, Received = 4,Lost = 0 (0% loss)
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 2ms, Average = 1ms
# 主机Host B和Host C ping因特网Internet IP地址10.1.2.1/24,都不能ping通。
C:\Documents and Settings\Administrator> ping 10.1.2.1
Pinging 10.1.2.1 with 32 bytes of data:
Request time out
Request time out
Request time out
Request time out
Ping statistics for 10.1.2.1:
Packets: Sent =4, Received = 0,Lost = 4 (100% loss)
#
acl number 3000
rule 0 permit ip destination 10.1.1.1 0
#
traffic classifier gw operator and
if-match acl 3000
traffic classifier mac operator or
if-match source-mac 0015-c50d-2222
if-match source-mac 0015-c50d-3333
#
traffic behavior permit
filter permit
traffic behavior deny
filter deny
#
qos policy myqos
classifier gw behavior permit
classifier mac behavior deny
#
interface gigabitEthernet0/0
port link-mode route
ip address 10.1.1.1 255.255.255.0
qos apply policy myqos inbound
#
interface gigabitEthernet0/1
port link-mode route
ip address 10.1.2.2 255.255.255.0
#
ospf 1
area 0.0.0.0
network 10.1.1.0 0.0.0.255
network 10.1.2.0 0.0.0.255
#
· H3C MSR 系列路由器 命令参考(V5)-R2311
· H3C MSR 系列路由器 配置指导(V5)-R2311
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
