华为ensp_华为ensp基础配置⽂档(五)⼆⼗⼆、应⽤⾼级ACL配置流分类
公司企业⽹通过Switch实现各部门之间的互连。要求正确配置ACL,禁
⽌研发部门和市场部门在上班时间(8:00⾄17:30)访问⼯资查询服务器(IP地址为
10.164.9.9),⽽总裁办公室不受限制,可以随时访问。
配置思路
采⽤如下的思路配置ACL:
1. 配置接⼝IP地址。
2. 配置时间段。
3. 配置ACL。
4. 配置流分类。
5. 配置流⾏为。
6. 配置流策略。
7. 在接⼝上应⽤流策略。
操作步骤
步骤1 配置接⼝IP地址
# 配置接⼝加⼊VLAN,并配置VLANIF接⼝的IP地址。
规划GE1/0/1~GE1/0/3分别加⼊VLAN10、20、30,GE2/0/1加⼊VLAN100。VLANIF接
⼝的地址取所在⽹段的第⼀个IP地址。下⾯配置以GE1/0/1接⼝为例,其他接⼝的配置与
此类似,不再赘述。
system-view
[Quidway] vlan batch 10 20 30 100
[Quidway] interface gigabitethernet 1/0/1
[Quidway-GigabitEthernet1/0/1] port link-type access
[Quidway-GigabitEthernet1/0/1] port default vlan 10
[Quidway-GigabitEthernet1/0/1] quit
[Quidway] interface vlanif 10
[Quidway-Vlanif10] ip address 10.164.1.1 255.255.255.0
[Quidway-Vlanif10] quit
步骤2 配置时间段
# 配置8:00⾄17:30的周期时间段。
[Quidway] time-range satime 8:00 to 17:30 working-day
步骤3 配置ACL
# 配置市场部门到⼯资查询服务器的访问规则。
[Quidway] acl 3002
[Quidway-acl-adv-3002] rule deny ip source 10.164.2.0 0.0.0.255 destination 10.164.9.9 0.0.0.0 timerange satime [Quidway-acl-adv-3002] quit
# 配置研发部门到⼯资查询服务器的访问规则。
[Quidway] acl 3003
[Quidway-acl-adv-3003] rule deny ip source 10.164.3.0 0.0.0.255 destination 10.164.9.9 0.0.0.0 timerange satime [Quidway-acl-adv-3003] quit
步骤4 配置基于ACL的流分类
# 配置流分类c_market,对匹配ACL 3002的报⽂进⾏分类。
[Quidway] traffic classifier c_market
[Quidway-classifier-c_market] if-match acl 3002
[Quidway-classifier-c_market] quit
# 配置流分类c_rd,对匹配ACL 3003的报⽂进⾏分类。
[Quidway] traffic classifier c_rd
[Quidway-classifier-c_rd] if-match acl 3003
[Quidway-classifier-c_rd] quit
步骤5 配置流⾏为
# 配置流⾏为b_market,动作为拒绝报⽂通过。
[Quidway] traffic behavior b_market
[Quidway-behavior-b_market] deny
[Quidway-behavior-b_market] quit
# 配置流⾏为b_rd,动作为拒绝报⽂通过。
[Quidway] traffic behavior b_rd
[Quidway-behavior-b_rd] deny
[Quidway-behavior-b_rd] quit
步骤6 配置流策略
# 配置流策略p_market,将流分类c_market与流⾏为b_market关联。
[Quidway] traffic policy p_market
[Quidway-trafficpolicy-p_market] classifier c_market behavior b_market
[Quidway-trafficpolicy-p_market] quit
# 配置流策略p_rd,将流分类c_rd与流⾏为b_rd关联。
[Quidway] traffic policy p_rd
[Quidway-trafficpolicy-p_rd] classifier c_rd behavior b_rd
[Quidway-trafficpolicy-p_rd] quit
步骤7 应⽤流策略
# 将流策略p_market应⽤到GE1/0/2接⼝。
[Quidway] interface gigabitethernet 1/0/2
[Quidway-GigabitEthernet1/0/2] traffic-policy p_market inbound
[Quidway-GigabitEthernet1/0/2] quit
# 将流策略p_rd应⽤到GE1/0/3接⼝。
[Quidway] interface gigabitethernet 1/0/3
[Quidway-GigabitEthernet1/0/3] traffic-policy p_rd inbound
[Quidway-GigabitEthernet1/0/3] quit
步骤8 验证配置结果
# 查看ACL规则的配置信息。
[Quidway] display acl all
Total nonempty ACL number is 2
Advanced ACL 3002, 1 rule
Acl's step is 5
rule 5 deny ip source 10.164.2.0 0.0.0.255 destination 10.164.9.9 0 time-range satime (match-counter 0)(Active)
Advanced ACL 3003, 1 rule
Acl's step is 5
rule 5 deny ip source 10.164.3.0 0.0.0.255 destination 10.164.9.9 0 time-range satime (match-counter 0)(Active)
# 查看流分类的配置信息。
[Quidway] display traffic classifier ur-defined
# 查看流策略的配置信息。
[Quidway] display traffic policy ur-defined
配置⽂件
#
acl number 3002
rule 5 deny ip source 10.164.2.0 0.0.0.255 destination 10.164.9.9 0 time-range satime #
acl number 3003
rule 5 deny ip source 10.164.3.0 0.0.0.255 destination 10.164.9.9 0 time-range satime #
traffic classifier c_market operator or precedence 5
if-match acl 3002
traffic classifier c_rd operator or precedence 10
if-match acl 3003
#
traffic behavior b_market
deny
traffic behavior b_rd
deny
#
traffic policy p_market
classifier c_market behavior b_market
traffic policy p_rd
classifier c_rd behavior b_rd
#
interface Vlanif10
ip address 10.164.1.1 255.255.255.0
#
interface Vlanif20
ip address 10.164.2.1 255.255.255.0
#
interface Vlanif30
ip address 10.164.3.1 255.255.255.0
#
interface Vlanif100
ip address 10.164.9.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 10
#
interface GigabitEthernet1/0/2
port link-type access
port default vlan 20
traffic-policy p_market inbound
#
interface GigabitEthernet1/0/3
port link-type access
port default vlan 30
traffic-policy p_rd inbound
#
interface GigabitEthernet2/0/1
port link-type access
port default vlan 100
#
return
⼆⼗三、配置QOS优先级映射
通过配置优先级映射,设备将来⾃不同⽤户的报⽂中的802.1p优先级映射成不同的服务
等级,从⽽提供差异化的服务。Switch通过接⼝GE2/0/1与路由器互连,企业部门1和企业部门2可经由Switch和路由器访问⽹络。企业部门1和企业部门2的VLAN ID分别为100、200。由于企业部门1的服务等级⾼,需要得到更好的QoS保证。来⾃企业部门1和2的报⽂802.1p值均为0,通过定义DiffServ域,将来⾃企业部门1的数据报⽂优先级映射为4,将来⾃企业部门2的数据报⽂优先级映射为2,以提供差分服务。
