• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C S12500R系列交换路由器 典型配置举例-Release 36xx系列-6W100

目录

31-流量过滤典型配置举例

本章节下载 31-流量过滤典型配置举例  (239.29 KB)

31-流量过滤典型配置举例

H3C S12500R产品流量过滤配置举例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2021 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。



1 简介

本文档介绍了流量过滤的配置举例。

流量过滤是指对符合流分类报文采取允许通过或拒绝通过的动作。允许或拒绝流量通过的依据有源IP地址、目的IP地址、MAC地址、协议号等。

2 配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文假设您已了解流量过滤特性。

3 使用限制

如果流行为配置为filter deny,则在该流行为视图下配置的其他流行为(除流量统计外)都不会生效。

4 流量过滤典型配置举例

4.1  组网需求

图4-1所示,某公司B、C、D三个分支机构均有市场部和财务部,且两个部门分别属于VLAN 20和VLAN 30。现要求通过配置流量过滤实现:

·     拒绝市场部访问网络的HTTP流量。

·     分支机构B的Server只有Host A和Host B才能访问。

·     三个分支机构中市场部间可以互访,财务部间可以互访。

图4-1 流量过滤典型配置举例组网图

 

4.1  配置思路

可通过如下三种方式过滤市场部的HTTP流量:

·     分别在Device B、Device C、Device D连接Device A的接口出方向配置拒绝源地址为192.168.4.0/24网段的HTTP流量。但网络扩展性较差,当有更多分支机构连接Device A时,需要再对新加入的分支机构的接入交换路由器进行配置。

·     在Device A的HundredGigE1/0/4接口出方向配置拒绝源地址为192.168.4.0/24网段的HTTP流量。但此方法浪费了设备的处理能力。

·     在DeviceA的VLAN 20、VLAN 30应用策略,拒绝市场部的HTTP流量,允许财务部的HTTP流量。此方法能够动态自适应网络的扩展,并且在入端口就能过滤HTTP流量,减少了DeviceA的硬件资源开销。本举例采用此配置方式。

要实现仅Host A和Host B才能访问Server,需进行如下配置:

·     在HundredGigE1/0/1接口配置报文过滤功能,仅允许源IP为192.168.4.10和192.168.4.15的报文通过。

·     报文过滤的缺省动作为Permit,即允许未匹配上ACL规则的报文通过。因此,需配置报文过滤的缺省动作为Deny。

要使来自市场部和财务部的其他流量(除HTTP以外的流量)能够访问Internet,并且三个分支机构中市场部间可以互访,财务部间可以互访,需配置Device A的HundredGigE1/0/1~HundredGigE1/0/4接口的类型为Trunk,并允许VLAN 20、VLAN 30通过。

4.2  使用版本

本举例是在R3606版本上进行配置和验证的。

4.3  配置注意事项

缺省情况下,接口处于ADM(Administratively Down)状态,请根据实际需要在对应接口视图下使用undo shutdown命令开启接口。

4.4  配置步骤

1. Device A上的配置

# 创建VLAN 20和VLAN 30。

<DeviceA> system-view

[DeviceA] vlan 20

[DeviceA-vlan20] quit

[DeviceA] vlan 30

[DeviceA-vlan30] quit

# 创建批量接口组myport,并将HundredGigE1/0/1~HundredGigE1/0/4加入批量接口组。

[DeviceA] interface range name myport interface hundredgige 1/0/1 to hundredgige 1/0/4

# 将HundredGigE1/0/1~HundredGigE1/0/4的接口类型为trunk,并允许VLAN 20和VLAN 30通过。

[DeviceA-if-range-myport] port link-mode bridge

[DeviceA-if-range-myport] port link-type trunk

[DeviceA-if-range-myport] port trunk permit vlan 20 30

[DeviceA-if-range-myport] undo port trunk permit vlan 1

[DeviceA-if-range-myport] quit

# 创建IPv4高级ACL 3000,对源IP地址为192.168.4.0/24网段的报文进行分类。

[DeviceA] acl advanced 3000

[DeviceA-acl-ipv4-adv-3000] rule deny tcp source 192.168.4.0 0.0.0.255 source-port eq 80

[DeviceA-acl-ipv4-adv-3000] quit

# 创建流分类vlan20_http,匹配ACL 3000。

[DeviceA] traffic classifier vlan20_http

[DeviceA-classifier-vlan20_http] if-match acl 3000

[DeviceA-classifier-vlan20_http] quit

# 创建流行为vlan20_http,动作为流量过滤(deny),拒绝数据包通过。

[DeviceA] traffic behavior vlan20_http

[DeviceA-behavior-vlan20_http] filter deny

[DeviceA-behavior-vlan20_http] quit

# 创建QoS策略,命名为vlan20_http,将流分类vlan20_http和流行为vlan20_http进行关联。

[DeviceA] qos policy vlan20_http

[DeviceA-qospolicy-vlan20_http] classifier vlan20_http behavior vlan20_http

[DeviceA-qospolicy-vlan20_http] quit

# 将QoS策略vlan20_http应用到VLAN 20和VLAN 30。

[DeviceA] qos vlan-policy vlan20_http vlan 20 30 inbound

2. Device B上的配置

# 创建IPv4基本ACL 2000,并配置允许来自Host A和Host B的报文通过的规则。

[DeviceB] acl basic 2000

[DeviceB-acl-ipv4-basic-2000] rule permit source 192.168.4.10 0

[DeviceB-acl-ipv4-basic-2000] rule permit source 192.168.4.15 0

[DeviceB-acl-ipv4-basic-2000] quit

# 配置报文过滤的缺省动作为Deny,即禁止未匹配上ACL规则的报文通过。

[DeviceB] packet-filter default deny

# 在HundredGigE1/0/1接口出方向上应用ACL 2000进行报文过滤。

[DeviceB] interface hundredgige 1/0/1

[DeviceB-HundredGigE1/0/1] packet-filter 2000 outbound

4.5  验证配置

# 通过display qos vlan-policy命令显示Device A上基于VLAN应用的QoS策略,查看策略是否应用成功。

[DeviceA] display qos vlan-policy vlan inbound

Vlan 20

  Direction: Inbound

  Policy: vlan20_http

   Classifier: vlan20_http

     Operator: AND

     Rule(s) :

      If-match acl 3000

     Behavior: vlan20_http

      Filter enable: Deny

 

Vlan 30

  Direction: Inbound

  Policy: vlan20_http

   Classifier: vlan20_http

     Operator: AND

     Rule(s) :

      If-match acl 3000

     Behavior: vlan20_http

      Filter enable: Deny

# 通过display packet-filter verbose命令显示Device B上的报文过滤情况。

[DeviceB] display packet-filter verbose interface hundredgige 1/0/1 outbound

Interface: HundredGigE1/0/1

 Outbound policy:

  IPv4 ACL 2000

   rule 0 permit source 192.168.4.10 0

  IPv4 default action: Deny

4.6  配置文件

·     Device A:

#

vlan 20

#

vlan 30

#

interface range name myport interface HundredGigE1/0/1 to HundredGigE1/0/4

#

acl advanced 3000

 rule 0 deny tcp source 192.168.4.0 0.0.0.255 source-port eq www

#

traffic classifier vlan20_http operator and

 if-match acl 3000

#

traffic behavior vlan20_http

 filter deny

#

qos policy vlan20_http

 classifier vlan20_http behavior vlan20_http

#

 qos vlan-policy vlan20_http vlan 20 inbound

 qos vlan-policy vlan20_http vlan 30 inbound

#

interface HundredGigE1/0/1

 port link-mode bridge

 port link-type trunk

 undo port trunk permit vlan 1

 port trunk permit vlan 20 30

#

interface HundredGigE1/0/2

 port link-mode bridge

 port link-type trunk

 undo port trunk permit vlan 1

 port trunk permit vlan 20 30

#

interface HundredGigE1/0/3

 port link-mode bridge

 port link-type trunk

 undo port trunk permit vlan 1

 port trunk permit vlan 20 30

#

interface HundredGigE1/0/4

 port link-mode bridge

 port link-type trunk

 undo port trunk permit vlan 1

 port trunk permit vlan 20 30

·     Device B:

#

acl basic 2000

 rule 0 permit source 192.168.4.10 0

#

 packet-filter default deny

#

interface HundredGigE1/0/1

 port link-mode bridge

 packet-filter 2000 outbound

#

5 相关资料

·     H3C S12500R系列交换路由器 ACL和QoS配置指导-R3606

·     H3C S12500R系列交换路由器 ACL和QoS命令参考-R3606

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们