• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C 园区盒式交换机典型配置举例-6W100

目录

30-流量过滤典型配置举例

本章节下载 30-流量过滤典型配置举例  (185.81 KB)

30-流量过滤典型配置举例


1  简介

本文档介绍了流量过滤的配置举例。

流量过滤是指对符合流分类报文采取允许通过或拒绝通过的动作。允许或拒绝流量通过的依据有源IP地址、目的IP地址、MAC地址、协议号等。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文假设您已了解流量过滤特性。

3  使用限制

当流行为配置为filter deny时,请勿在该流行为视图下配置其他流行为(流量统计除外),否则会导致整个策略不生效。

4  流量过滤典型配置举例

4.1  组网需求

图1所示,某公司B、C、D三个分支机构均有市场部和财务部,且两个部门分别属于VLAN 20和VLAN 30。现要求通过配置流量过滤实现:

·            拒绝市场部访问网络的HTTP流量。

·            分支机构B的Server只有Host A和Host B才能访问。

·            三个分支机构中市场部间可以互访,财务部间可以互访。

图1 流量过滤典型配置举例组网图

 

4.1  配置思路

可通过如下三种方式过滤市场部的HTTP流量:

·            分别在Device B、Device C、Device D连接Device A的接口出方向配置拒绝源地址为192.168.4.0/24网段的HTTP流量。但网络扩展性较差,当有更多分支机构连接Device A时,需要再对新加入的分支机构的接入交换机进行配置。

·            在Device A的GigabitEthernet1/0/4接口出方向配置拒绝源地址为192.168.4.0/24网段的HTTP流量。但此方法浪费了设备的处理能力。

·            在DeviceA的VLAN 20、VLAN 30应用策略,拒绝市场部的HTTP流量,允许财务部的HTTP流量。此方法能够动态自适应网络的扩展,并且在入端口就能过滤HTTP流量,减少了DeviceA的硬件资源开销。本举例采用此配置方式。

要实现仅Host A和Host B才能访问Server,需进行如下配置:

·            在GigabitEthernet1/0/1接口配置报文过滤功能,仅允许源IP为192.168.4.10和192.168.4.15的报文通过。

·            报文过滤的缺省动作为Permit,即允许未匹配上ACL规则的报文通过。因此,需配置报文过滤的缺省动作为Deny。

要使来自市场部和财务部的其他流量(除HTTP以外的流量)能够访问Internet,并且三个分支机构中市场部间可以互访,财务部间可以互访,需配置Device A的GigabitEthernet1/0/1~GigabitEthernet1/0/4接口的类型为Trunk,并允许VLAN 20、VLAN 30通过。

4.2  适用产品及版本

表1 适用产品及版本

产品

软件版本

S5560X-EI系列

Release 63xx系列

S5560X-HI系列

Release 63xx系列

S5500V2-EI系列

Release 63xx系列

MS4520V2-30F

Release 63xx系列

S6520X-HI系列

S6520X-EI系列

Release 63xx系列

S6520X-SI系列

S6520-SI系列

Release 63xx系列

S5000-EI系列

Release 63xx系列

MS4600系列

Release 63xx系列

S5560S-EI系列

S5560S-SI系列

Release 63xx系列

S5130S-HI系列

S5130S-EI系列

S5130S-SI系列

S5130S-LI系列

Release 63xx系列

S5120V2-SI系列

S5120V2-LI系列

Release 63xx系列

S3100V3-EI系列

S3100V3-SI系列

Release 63xx系列

S5110V2系列

Release 63xx系列

S5110V2-SI系列

Release 63xx系列

S5000V3-EI系列

Release 63xx系列

S5000E-X系列

Release 63xx系列

E128C

E152C

E500C系列

E500D系列

Release 63xx系列

MS4520V2系列(除MS4520V2-30F)

Release 63xx系列

MS4320V2系列

MS4300V2系列

MS4320系列

MS4200系列

Release 63xx系列

WS5850-WiNet系列

Release 63xx系列

WS5820-WiNet系列

WS5810-WiNet系列

Release 63xx系列

WAS6000系列

Release 63xx系列

 

S5130S-HI系列、S5130S-EI系列、S3100V3-EI系列、E128C、E152C、E500C系列和E500D系列不支持port link-mode命令,所以4.5  配置文件中不会显示port link-mode bridge。

4.3  配置步骤

1. Device A上的配置

# 创建VLAN 20和VLAN 30。

<DeviceA> system-view

[DeviceA] vlan 20

[DeviceA-vlan20] quit

[DeviceA] vlan 30

[DeviceA-vlan30] quit

# 创建批量接口组myport,并将GigabitEthernet1/0/1~GigabitEthernet1/0/4加入批量接口组。

[DeviceA] interface range name myport interface gigabitethernet 1/0/1 to gigabitethernet 1/0/4

# 将GigabitEthernet1/0/1~GigabitEthernet1/0/4的接口类型为trunk,并允许VLAN 20和VLAN 30通过。

[DeviceA-if-range-myport] port link-type trunk

[DeviceA-if-range-myport] port trunk permit vlan 20 30

[DeviceA-if-range-myport] undo port trunk permit vlan 1

[DeviceA-if-range-myport] quit

# 创建IPv4高级ACL 3000,对源IP地址为192.168.4.0/24网段的报文进行分类。

[DeviceA] acl advanced 3000

[DeviceA-acl-ipv4-adv-3000] rule deny tcp source 192.168.4.0 0.0.0.255 source-port eq 80

[DeviceA-acl-ipv4-adv-3000] quit

# 创建流分类vlan20_http,匹配ACL 3000。

[DeviceA] traffic classifier vlan20_http

[DeviceA-classifier-vlan20_http] if-match acl 3000

[DeviceA-classifier-vlan20_http] quit

# 创建流行为vlan20_http,动作为流量过滤(deny),拒绝数据包通过。

[DeviceA] traffic behavior vlan20_http

[DeviceA-behavior-vlan20_http] filter deny

[DeviceA-behavior-vlan20_http] quit

# 创建QoS策略,命名为vlan20_http,将流分类vlan20_http和流行为vlan20_http进行关联。

[DeviceA] qos policy vlan20_http

[DeviceA-qospolicy-vlan20_http] classifier vlan20_http behavior vlan20_http

[DeviceA-qospolicy-vlan20_http] quit

# 将QoS策略vlan20_http应用到VLAN 20和VLAN 30。

[DeviceA] qos vlan-policy vlan20_http vlan 20 30 inbound

2. Device B上的配置

# 创建IPv4基本ACL 2000,并配置允许来自Host A和Host B的报文通过的规则。

[DeviceB] acl basic 2000

[DeviceB-acl-ipv4-basic-2000] rule permit source 192.168.4.10 0

[DeviceB-acl-ipv4-basic-2000] rule permit source 192.168.4.15 0

[DeviceB-acl-ipv4-basic-2000] quit

# 配置报文过滤的缺省动作为Deny,即禁止未匹配上ACL规则的报文通过。

[DeviceB] packet-filter default deny

# 在GigabitEthernet1/0/1接口出方向上应用ACL 2000进行报文过滤。

[DeviceB] interface gigabitethernet 1/0/1

[DeviceB-GigabitEthernet1/0/1] packet-filter 2000 outbound

4.4  验证配置

# 通过display qos vlan-policy命令显示Device A上基于VLAN应用的QoS策略,查看策略是否应用成功。

[DeviceA] display qos vlan-policy vlan inbound

Vlan 20

  Direction: Inbound

  Policy: vlan20_http

   Classifier: vlan20_http

     Operator: AND

     Rule(s) :

      If-match acl 3000

     Behavior: vlan20_http

      Filter enable: Deny

 

Vlan 30

  Direction: Inbound

  Policy: vlan20_http

   Classifier: vlan20_http

     Operator: AND

     Rule(s) :

      If-match acl 3000

     Behavior: vlan20_http

      Filter enable: Deny

# 通过display packet-filter verbose命令显示Device B上的报文过滤情况。

[DeviceB] display packet-filter verbose interface gigabitethernet 1/0/1 outbound

Interface: GigabitEthernet1/0/1

 Outbound policy:

  IPv4 ACL 2000

   rule 0 permit source 192.168.4.10 0

  IPv4 default action: Deny

4.5  配置文件

·            Device A:

#

vlan 20

#

vlan 30

#

interface range name myport interface GigabitEthernet1/0/1 to GigabitEthernet1/0/4

#

acl advanced 3000

 rule 0 deny tcp source 192.168.4.0 0.0.0.255 source-port eq www

#

traffic classifier vlan20_http operator and

 if-match acl 3000

#

traffic behavior vlan20_http

 filter deny

#

qos policy vlan20_http

 classifier vlan20_http behavior vlan20_http

#

 qos vlan-policy vlan20_http vlan 20 inbound

 qos vlan-policy vlan20_http vlan 30 inbound

#

interface GigabitEthernet1/0/1

 port link-mode bridge

 port link-type trunk

 undo port trunk permit vlan 1

 port trunk permit vlan 20 30

#

interface GigabitEthernet1/0/2

 port link-mode bridge

 port link-type trunk

 undo port trunk permit vlan 1

 port trunk permit vlan 20 30

#

interface GigabitEthernet1/0/3

 port link-mode bridge

 port link-type trunk

 undo port trunk permit vlan 1

 port trunk permit vlan 20 30

#

interface GigabitEthernet1/0/4

 port link-mode bridge

 port link-type trunk

 undo port trunk permit vlan 1

 port trunk permit vlan 20 30

·            Device B:

#

acl basic 2000

 rule 0 permit source 192.168.4.10 0

#

 packet-filter default deny

#

interface GigabitEthernet1/0/1

 port link-mode bridge

 packet-filter 2000 outbound

#

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们