31-流量过滤典型配置举例
本章节下载: 31-流量过滤典型配置举例 (239.29 KB)
H3C S12500R产品流量过滤配置举例
Copyright © 2021 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
本文档介绍了流量过滤的配置举例。
流量过滤是指对符合流分类报文采取允许通过或拒绝通过的动作。允许或拒绝流量通过的依据有源IP地址、目的IP地址、MAC地址、协议号等。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文假设您已了解流量过滤特性。
如果流行为配置为filter deny,则在该流行为视图下配置的其他流行为(除流量统计外)都不会生效。
如图4-1所示,某公司B、C、D三个分支机构均有市场部和财务部,且两个部门分别属于VLAN 20和VLAN 30。现要求通过配置流量过滤实现:
· 拒绝市场部访问网络的HTTP流量。
· 分支机构B的Server只有Host A和Host B才能访问。
· 三个分支机构中市场部间可以互访,财务部间可以互访。
可通过如下三种方式过滤市场部的HTTP流量:
· 分别在Device B、Device C、Device D连接Device A的接口出方向配置拒绝源地址为192.168.4.0/24网段的HTTP流量。但网络扩展性较差,当有更多分支机构连接Device A时,需要再对新加入的分支机构的接入交换路由器进行配置。
· 在Device A的HundredGigE1/0/4接口出方向配置拒绝源地址为192.168.4.0/24网段的HTTP流量。但此方法浪费了设备的处理能力。
· 在DeviceA的VLAN 20、VLAN 30应用策略,拒绝市场部的HTTP流量,允许财务部的HTTP流量。此方法能够动态自适应网络的扩展,并且在入端口就能过滤HTTP流量,减少了DeviceA的硬件资源开销。本举例采用此配置方式。
要实现仅Host A和Host B才能访问Server,需进行如下配置:
· 在HundredGigE1/0/1接口配置报文过滤功能,仅允许源IP为192.168.4.10和192.168.4.15的报文通过。
· 报文过滤的缺省动作为Permit,即允许未匹配上ACL规则的报文通过。因此,需配置报文过滤的缺省动作为Deny。
要使来自市场部和财务部的其他流量(除HTTP以外的流量)能够访问Internet,并且三个分支机构中市场部间可以互访,财务部间可以互访,需配置Device A的HundredGigE1/0/1~HundredGigE1/0/4接口的类型为Trunk,并允许VLAN 20、VLAN 30通过。
本举例是在R3606版本上进行配置和验证的。
缺省情况下,接口处于ADM(Administratively Down)状态,请根据实际需要在对应接口视图下使用undo shutdown命令开启接口。
# 创建VLAN 20和VLAN 30。
<DeviceA> system-view
[DeviceA] vlan 20
[DeviceA-vlan20] quit
[DeviceA] vlan 30
[DeviceA-vlan30] quit
# 创建批量接口组myport,并将HundredGigE1/0/1~HundredGigE1/0/4加入批量接口组。
[DeviceA] interface range name myport interface hundredgige 1/0/1 to hundredgige 1/0/4
# 将HundredGigE1/0/1~HundredGigE1/0/4的接口类型为trunk,并允许VLAN 20和VLAN 30通过。
[DeviceA-if-range-myport] port link-mode bridge
[DeviceA-if-range-myport] port link-type trunk
[DeviceA-if-range-myport] port trunk permit vlan 20 30
[DeviceA-if-range-myport] undo port trunk permit vlan 1
[DeviceA-if-range-myport] quit
# 创建IPv4高级ACL 3000,对源IP地址为192.168.4.0/24网段的报文进行分类。
[DeviceA] acl advanced 3000
[DeviceA-acl-ipv4-adv-3000] rule deny tcp source 192.168.4.0 0.0.0.255 source-port eq 80
[DeviceA-acl-ipv4-adv-3000] quit
# 创建流分类vlan20_http,匹配ACL 3000。
[DeviceA] traffic classifier vlan20_http
[DeviceA-classifier-vlan20_http] if-match acl 3000
[DeviceA-classifier-vlan20_http] quit
# 创建流行为vlan20_http,动作为流量过滤(deny),拒绝数据包通过。
[DeviceA] traffic behavior vlan20_http
[DeviceA-behavior-vlan20_http] filter deny
[DeviceA-behavior-vlan20_http] quit
# 创建QoS策略,命名为vlan20_http,将流分类vlan20_http和流行为vlan20_http进行关联。
[DeviceA] qos policy vlan20_http
[DeviceA-qospolicy-vlan20_http] classifier vlan20_http behavior vlan20_http
[DeviceA-qospolicy-vlan20_http] quit
# 将QoS策略vlan20_http应用到VLAN 20和VLAN 30。
[DeviceA] qos vlan-policy vlan20_http vlan 20 30 inbound
# 创建IPv4基本ACL 2000,并配置允许来自Host A和Host B的报文通过的规则。
[DeviceB] acl basic 2000
[DeviceB-acl-ipv4-basic-2000] rule permit source 192.168.4.10 0
[DeviceB-acl-ipv4-basic-2000] rule permit source 192.168.4.15 0
[DeviceB-acl-ipv4-basic-2000] quit
# 配置报文过滤的缺省动作为Deny,即禁止未匹配上ACL规则的报文通过。
[DeviceB] packet-filter default deny
# 在HundredGigE1/0/1接口出方向上应用ACL 2000进行报文过滤。
[DeviceB] interface hundredgige 1/0/1
[DeviceB-HundredGigE1/0/1] packet-filter 2000 outbound
# 通过display qos vlan-policy命令显示Device A上基于VLAN应用的QoS策略,查看策略是否应用成功。
[DeviceA] display qos vlan-policy vlan inbound
Vlan 20
Direction: Inbound
Policy: vlan20_http
Classifier: vlan20_http
Operator: AND
Rule(s) :
If-match acl 3000
Behavior: vlan20_http
Filter enable: Deny
Vlan 30
Direction: Inbound
Policy: vlan20_http
Classifier: vlan20_http
Operator: AND
Rule(s) :
If-match acl 3000
Behavior: vlan20_http
Filter enable: Deny
# 通过display packet-filter verbose命令显示Device B上的报文过滤情况。
[DeviceB] display packet-filter verbose interface hundredgige 1/0/1 outbound
Interface: HundredGigE1/0/1
Outbound policy:
IPv4 ACL 2000
rule 0 permit source 192.168.4.10 0
IPv4 default action: Deny
· Device A:
#
vlan 20
#
vlan 30
#
interface range name myport interface HundredGigE1/0/1 to HundredGigE1/0/4
#
acl advanced 3000
rule 0 deny tcp source 192.168.4.0 0.0.0.255 source-port eq www
#
traffic classifier vlan20_http operator and
if-match acl 3000
#
traffic behavior vlan20_http
filter deny
#
qos policy vlan20_http
classifier vlan20_http behavior vlan20_http
#
qos vlan-policy vlan20_http vlan 20 inbound
qos vlan-policy vlan20_http vlan 30 inbound
#
interface HundredGigE1/0/1
port link-mode bridge
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 20 30
#
interface HundredGigE1/0/2
port link-mode bridge
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 20 30
#
interface HundredGigE1/0/3
port link-mode bridge
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 20 30
#
interface HundredGigE1/0/4
port link-mode bridge
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 20 30
· Device B:
#
acl basic 2000
rule 0 permit source 192.168.4.10 0
#
packet-filter default deny
#
interface HundredGigE1/0/1
port link-mode bridge
packet-filter 2000 outbound
#
· H3C S12500R系列交换路由器 ACL和QoS配置指导-R3606
· H3C S12500R系列交换路由器 ACL和QoS命令参考-R3606
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!