30-流量过滤典型配置举例
本章节下载: 30-流量过滤典型配置举例 (185.81 KB)
本文档介绍了流量过滤的配置举例。
流量过滤是指对符合流分类报文采取允许通过或拒绝通过的动作。允许或拒绝流量通过的依据有源IP地址、目的IP地址、MAC地址、协议号等。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文假设您已了解流量过滤特性。
当流行为配置为filter deny时,请勿在该流行为视图下配置其他流行为(流量统计除外),否则会导致整个策略不生效。
如图1所示,某公司B、C、D三个分支机构均有市场部和财务部,且两个部门分别属于VLAN 20和VLAN 30。现要求通过配置流量过滤实现:
· 拒绝市场部访问网络的HTTP流量。
· 分支机构B的Server只有Host A和Host B才能访问。
· 三个分支机构中市场部间可以互访,财务部间可以互访。
可通过如下三种方式过滤市场部的HTTP流量:
· 分别在Device B、Device C、Device D连接Device A的接口出方向配置拒绝源地址为192.168.4.0/24网段的HTTP流量。但网络扩展性较差,当有更多分支机构连接Device A时,需要再对新加入的分支机构的接入交换机进行配置。
· 在Device A的GigabitEthernet1/0/4接口出方向配置拒绝源地址为192.168.4.0/24网段的HTTP流量。但此方法浪费了设备的处理能力。
· 在DeviceA的VLAN 20、VLAN 30应用策略,拒绝市场部的HTTP流量,允许财务部的HTTP流量。此方法能够动态自适应网络的扩展,并且在入端口就能过滤HTTP流量,减少了DeviceA的硬件资源开销。本举例采用此配置方式。
要实现仅Host A和Host B才能访问Server,需进行如下配置:
· 在GigabitEthernet1/0/1接口配置报文过滤功能,仅允许源IP为192.168.4.10和192.168.4.15的报文通过。
· 报文过滤的缺省动作为Permit,即允许未匹配上ACL规则的报文通过。因此,需配置报文过滤的缺省动作为Deny。
要使来自市场部和财务部的其他流量(除HTTP以外的流量)能够访问Internet,并且三个分支机构中市场部间可以互访,财务部间可以互访,需配置Device A的GigabitEthernet1/0/1~GigabitEthernet1/0/4接口的类型为Trunk,并允许VLAN 20、VLAN 30通过。
表1 适用产品及版本
产品 |
软件版本 |
S5560X-EI系列 |
Release 63xx系列 |
S5560X-HI系列 |
Release 63xx系列 |
S5500V2-EI系列 |
Release 63xx系列 |
MS4520V2-30F |
Release 63xx系列 |
S6520X-HI系列 S6520X-EI系列 |
Release 63xx系列 |
S6520X-SI系列 S6520-SI系列 |
Release 63xx系列 |
S5000-EI系列 |
Release 63xx系列 |
MS4600系列 |
Release 63xx系列 |
S5560S-EI系列 S5560S-SI系列 |
Release 63xx系列 |
S5130S-HI系列 S5130S-EI系列 S5130S-SI系列 S5130S-LI系列 |
Release 63xx系列 |
S5120V2-SI系列 S5120V2-LI系列 |
Release 63xx系列 |
S3100V3-EI系列 S3100V3-SI系列 |
Release 63xx系列 |
S5110V2系列 |
Release 63xx系列 |
S5110V2-SI系列 |
Release 63xx系列 |
S5000V3-EI系列 |
Release 63xx系列 |
S5000E-X系列 |
Release 63xx系列 |
E128C E152C E500C系列 E500D系列 |
Release 63xx系列 |
MS4520V2系列(除MS4520V2-30F) |
Release 63xx系列 |
MS4320V2系列 MS4300V2系列 MS4320系列 MS4200系列 |
Release 63xx系列 |
WS5850-WiNet系列 |
Release 63xx系列 |
WS5820-WiNet系列 WS5810-WiNet系列 |
Release 63xx系列 |
WAS6000系列 |
Release 63xx系列 |
S5130S-HI系列、S5130S-EI系列、S3100V3-EI系列、E128C、E152C、E500C系列和E500D系列不支持port link-mode命令,所以4.5 配置文件中不会显示port link-mode bridge。
# 创建VLAN 20和VLAN 30。
<DeviceA> system-view
[DeviceA] vlan 20
[DeviceA-vlan20] quit
[DeviceA] vlan 30
[DeviceA-vlan30] quit
# 创建批量接口组myport,并将GigabitEthernet1/0/1~GigabitEthernet1/0/4加入批量接口组。
[DeviceA] interface range name myport interface gigabitethernet 1/0/1 to gigabitethernet 1/0/4
# 将GigabitEthernet1/0/1~GigabitEthernet1/0/4的接口类型为trunk,并允许VLAN 20和VLAN 30通过。
[DeviceA-if-range-myport] port link-type trunk
[DeviceA-if-range-myport] port trunk permit vlan 20 30
[DeviceA-if-range-myport] undo port trunk permit vlan 1
[DeviceA-if-range-myport] quit
# 创建IPv4高级ACL 3000,对源IP地址为192.168.4.0/24网段的报文进行分类。
[DeviceA] acl advanced 3000
[DeviceA-acl-ipv4-adv-3000] rule deny tcp source 192.168.4.0 0.0.0.255 source-port eq 80
[DeviceA-acl-ipv4-adv-3000] quit
# 创建流分类vlan20_http,匹配ACL 3000。
[DeviceA] traffic classifier vlan20_http
[DeviceA-classifier-vlan20_http] if-match acl 3000
[DeviceA-classifier-vlan20_http] quit
# 创建流行为vlan20_http,动作为流量过滤(deny),拒绝数据包通过。
[DeviceA] traffic behavior vlan20_http
[DeviceA-behavior-vlan20_http] filter deny
[DeviceA-behavior-vlan20_http] quit
# 创建QoS策略,命名为vlan20_http,将流分类vlan20_http和流行为vlan20_http进行关联。
[DeviceA] qos policy vlan20_http
[DeviceA-qospolicy-vlan20_http] classifier vlan20_http behavior vlan20_http
[DeviceA-qospolicy-vlan20_http] quit
# 将QoS策略vlan20_http应用到VLAN 20和VLAN 30。
[DeviceA] qos vlan-policy vlan20_http vlan 20 30 inbound
# 创建IPv4基本ACL 2000,并配置允许来自Host A和Host B的报文通过的规则。
[DeviceB] acl basic 2000
[DeviceB-acl-ipv4-basic-2000] rule permit source 192.168.4.10 0
[DeviceB-acl-ipv4-basic-2000] rule permit source 192.168.4.15 0
[DeviceB-acl-ipv4-basic-2000] quit
# 配置报文过滤的缺省动作为Deny,即禁止未匹配上ACL规则的报文通过。
[DeviceB] packet-filter default deny
# 在GigabitEthernet1/0/1接口出方向上应用ACL 2000进行报文过滤。
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] packet-filter 2000 outbound
# 通过display qos vlan-policy命令显示Device A上基于VLAN应用的QoS策略,查看策略是否应用成功。
[DeviceA] display qos vlan-policy vlan inbound
Vlan 20
Direction: Inbound
Policy: vlan20_http
Classifier: vlan20_http
Operator: AND
Rule(s) :
If-match acl 3000
Behavior: vlan20_http
Filter enable: Deny
Vlan 30
Direction: Inbound
Policy: vlan20_http
Classifier: vlan20_http
Operator: AND
Rule(s) :
If-match acl 3000
Behavior: vlan20_http
Filter enable: Deny
# 通过display packet-filter verbose命令显示Device B上的报文过滤情况。
[DeviceB] display packet-filter verbose interface gigabitethernet 1/0/1 outbound
Interface: GigabitEthernet1/0/1
Outbound policy:
IPv4 ACL 2000
rule 0 permit source 192.168.4.10 0
IPv4 default action: Deny
· Device A:
#
vlan 20
#
vlan 30
#
interface range name myport interface GigabitEthernet1/0/1 to GigabitEthernet1/0/4
#
acl advanced 3000
rule 0 deny tcp source 192.168.4.0 0.0.0.255 source-port eq www
#
traffic classifier vlan20_http operator and
if-match acl 3000
#
traffic behavior vlan20_http
filter deny
#
qos policy vlan20_http
classifier vlan20_http behavior vlan20_http
#
qos vlan-policy vlan20_http vlan 20 inbound
qos vlan-policy vlan20_http vlan 30 inbound
#
interface GigabitEthernet1/0/1
port link-mode bridge
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 20 30
#
interface GigabitEthernet1/0/2
port link-mode bridge
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 20 30
#
interface GigabitEthernet1/0/3
port link-mode bridge
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 20 30
#
interface GigabitEthernet1/0/4
port link-mode bridge
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 20 30
· Device B:
#
acl basic 2000
rule 0 permit source 192.168.4.10 0
#
packet-filter default deny
#
interface GigabitEthernet1/0/1
port link-mode bridge
packet-filter 2000 outbound
#
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!