华为S9300ACL配置实例
华为S9300 ACL配置
ACL通过⼀系列规则对数据包进⾏分类,这些规则应⽤到S9300接⼝上,S9300根据这些规则判断哪些数据包可以接收,哪些数据包需要拒绝。
配置基本ACL⽰例
介绍基本ACL的配置过程,包括配置URPF功能、配置基本ACL规则、配置流⾏为、流分类和流策略等。
组⽹需求
如所⽰,Switch的GE1/0/1接⼝连接⽤户,GE2/0/1接⼝连接上层路由器。为防⽌基于源地址的欺骗,要求在GE1/0/1和GE2/0/1接⼝配置URPF严格检查模式,同时相信IP地址为10.0.0.2/24的⽤户A的流,对该⽤户的流去使能URPF检查功能。
图5-282配置指定流去使能URPF功能组⽹图
配置思路
采⽤如下的思路配置指定流去使能URPF功能:
1. 配置URPF功能。
2. 配置ACL。
3. 配置流分类。
4. 配置流⾏为。
5. 配置流策略。
6. 在接⼝上应⽤流策略。
数据准备
为完成此配置举例,需要准备如下数据:
使能URPF检查的接⼝:GE1/0/1、GE2/0/1。
ACL编号:2000。
⽤户A的IP地址:10.0.0.2/24。
流分类、流⾏为、流量策略的名字:tc1、tb1、tp1。
应⽤流策略的接⼝:GE1/0/1。
操作步骤
1. 配置URPF功能
# 使能接⼝板的URPF功能。
<Quidway> system-view
[Quidway] urpf slot 1
[Quidway] urpf slot 2
# 配置接⼝的URPF检查模式。
[Quidway] interface gigabitethernet 1/0/1
[Quidway-GigabitEthernet1/0/1] urpf strict
[Quidway-GigabitEthernet1/0/1] quit
[Quidway] interface gigabitethernet 2/0/1
[Quidway-GigabitEthernet2/0/1] urpf strict
[Quidway-GigabitEthernet2/0/1] quit
2. 配置基于ACL的流分类
# 定义ACL规则。
[Quidway] acl 2000
[Quidway-acl-basic-2000] rule permit source 10.0.0.2 0.0.0.255
[Quidway-acl-basic-2000] quit
# 配置流分类,定义基于ACL的匹配规则。
[Quidway] traffic classifier tc1
[Quidway-classifier-tc1] if-match acl 2000
[Quidway-classifier-tc1] quit
3. 配置流⾏为
# 定义流⾏为,去使能流⾏为视图下URPF功能。
[Quidway] traffic behavior tb1
[Quidway-behavior-tb1] ip urpf disable
[Quidway-behavior-tb1] quit
4. 配置流策略
# 定义流策略,将流分类与流⾏为关联。
[Quidway] traffic policy tp1
[Quidway-trafficpolicy-tp1] classifier tc1 behavior tb1
[Quidway-trafficpolicy-tp1] quit
# 应⽤流策略到GE1/0/1接⼝。
[Quidway] interface gigabitethernet 1/0/1
[Quidway-GigabitEthernet1/0/1] traffic-policy tp1 inbound
[Quidway-GigabitEthernet1/0/1] quit
5. 验证配置结果
# 查看ACL规则的配置信息
<Quidway> display acl 2000
Basic ACL 2000, 1 rule
Acl's step is 5
rule 5 permit source 10.0.0.0 0.0.0.255 (0 times matched)
# 查看流分类的配置信息
<Quidway> display traffic classifier ur-defined
Ur Defined Classifier Information:
Classifier: tc1
Precedence: 20
Operator: OR
Rule(s) : if-match acl 2000
# 查看流策略的配置信息
<Quidway> display traffic policy ur-defined tp1
Ur Defined Traffic Policy Information:
Policy: tp1
Classifier: default-class
Behavior: be
-none-
Classifier: tc1
Behavior: tb1
urpf switch: off
配置⽂件
#
urpf slot 1
urpf slot 2
#
acl number 2000
rule 5 permit source 10.0.0.0 0.0.0.255
#
traffic classifier tc1
if-match acl 2000
#
traffic behavior tb1
ip urpf disable
#
traffic policy tp1
classifier tc1 behavior tb1
#
interface GigabitEthernet1/0/1
urpf strict
traffic-policy tp1 inbound
#
interface GigabitEthernet2/0/1
urpf strict
#
return
配置⾼级ACL⽰例
介绍⾼级ACL的配置过程,包括配置⽣效时间段、配置⾼级ACL规则、配置流⾏为、流分类和流策略等。
组⽹需求
如所⽰,公司企业⽹通过Switch实现各部门之间的互连。要求正确配置IPv4 ACL,禁⽌研发部门和市场部门在上班时间(8:00⾄17:30)访问⼯资查询服务器(IP地址为10.164.9.9),⽽总裁办公室不受限制,可以随时访问。
图5-283配置IPv4 ACL组⽹图
配置思路
采⽤如下的思路配置IPv4 ACL:
1. 配置接⼝IP地址。
2. 配置时间段。
3. 配置ACL。
4. 配置流分类。
5. 配置流⾏为。
6. 配置流策略。
7. 在接⼝上应⽤流策略。
数据准备
为完成此配置举例,需要准备如下数据:
接⼝所属VLAN
时间段名称
ACL编号及规则
流分类名称及分类规则
流⾏为名称及动作
流策略名称及关联的流分类和流⾏为
应⽤流策略的接⼝
操作步骤
1. 配置接⼝IP地址
# 配置接⼝加⼊VLAN,并配置VLANIF接⼝的IP地址。
规划GE1/0/1~GE1/0/3分别加⼊VLAN10、20、30,GE2/0/1加⼊VLAN100。VLANIF接⼝的地址取所在⽹段的第⼀个IP地
址。下⾯配置以GE1/0/1接⼝为例,其他接⼝的配置与此类似,不再赘述。
<Quidway> system-view
[Quidway] vlan batch 10 20 30 100
[Quidway] interface gigabitethernet 1/0/1
[Quidway-GigabitEthernet1/0/1] port link-type access
[Quidway-GigabitEthernet1/0/1] port default vlan 10
[Quidway-GigabitEthernet1/0/1] quit
[Quidway] interface vlanif 10
[Quidway-Vlanif10] ip address 10.164.1.1 255.255.255.0
[Quidway-Vlanif10] quit
2. 配置时间段
# 配置8:00⾄17:30的周期时间段。
<Quidway> system-view
[Quidway] time-range satime 8:00 to 17:30 working-day
3. 配置ACL
# 配置市场部门到⼯资查询服务器的访问规则。
[Quidway] acl 3002
[Quidway-acl-adv-3002] rule deny ip source 10.164.2.0 0.0.0.255 destination 10.164.9.9 0.0.0.0 time-range satime
[Quidway-acl-adv-3002] quit
# 配置研发部门到⼯资查询服务器的访问规则。
[Quidway] acl 3003
[Quidway-acl-adv-3003] rule deny ip source 10.164.3.0 0.0.0.255 destination 10.164.9.9 0.0.0.0 time-range satime
[Quidway-acl-adv-3003] quit
4. 配置基于ACL的流分类
# 配置流分类c_market,对匹配ACL 3002的报⽂进⾏分类。
[Quidway] traffic classifier c_market
[Quidway-classifier-c_market] if-match acl 3002
[Quidway-classifier-c_market] quit
# 配置流分类c_rd,对匹配ACL 3003的报⽂进⾏分类。
[Quidway] traffic classifier c_rd
[Quidway-classifier-c_rd] if-match acl 3003
[Quidway-classifier-c_rd] quit
5. 配置流⾏为
# 配置流⾏为b_market,动作为拒绝报⽂通过。
[Quidway] traffic behavior b_market
[Quidway-behavior-b_market] deny
[Quidway-behavior-b_market] quit
# 配置流⾏为b_rd,动作为拒绝报⽂通过。
[Quidway] traffic behavior b_rd
[Quidway-behavior-b_rd] deny
[Quidway-behavior-b_rd] quit
6. 配置流策略
# 配置流策略p_market,将流分类c_market与流⾏为b_market关联。
[Quidway] traffic policy p_market
[Quidway-trafficpolicy-p_market] classifier c_market behavior b_market
[Quidway-trafficpolicy-p_market] quit
# 配置流策略p_rd,将流分类c_rd与流⾏为b_rd关联。
[Quidway] traffic policy p_rd
[Quidway-trafficpolicy-p_rd] classifier c_rd behavior b_rd
[Quidway-trafficpolicy-p_rd] quit
7. 应⽤流策略
# 将流策略p_market应⽤到GE1/0/2接⼝。
[Quidway] interface gigabitethernet 1/0/2
[Quidway-GigabitEthernet1/0/2] traffic-policy p_market inbound
[Quidway-GigabitEthernet1/0/2] quit
# 将流策略p_rd应⽤到GE1/0/3接⼝。
[Quidway] interface gigabitethernet 1/0/3
[Quidway-GigabitEthernet1/0/3] traffic-policy p_rd inbound
[Quidway-GigabitEthernet1/0/3] quit
8. 验证配置结果
# 查看ACL规则的配置信息。
<Quidway> display acl all
Total nonempty ACL number is 2
Advanced ACL 3002, 1 rule
Acl's step is 5
rule 5 deny ip source 10.164.2.0 0.0.0.255 destination 10.164.9.9 0 time-range
satime (0 times matched)(Active)
Advanced ACL 3003, 1 rule
Acl's step is 5
rule 5 deny ip source 10.164.3.0 0.0.0.255 destination 10.164.9.9 0 time-range
satime (0 times matched)(Active)
# 查看流分类的配置信息。
<Quidway> display traffic classifier ur-defined
Ur Defined Classifier Information:
Classifier: c_market
Precedence: 5
Operator: OR
Rule(s) : if-match acl 3002
Classifier: c_rd
Precedence: 10
Operator: OR
Rule(s) : if-match acl 3003
# 查看流策略的配置信息。
<Quidway> display traffic policy ur-defined tp1
Ur Defined Traffic Policy Information:
Policy: p_market
Classifier: default-class
Behavior: be
-none-
Classifier: c_market
Behavior: b_market
Deny
Policy: p_rd
Classifier: default-class
Behavior: be
-none-
Classifier: c_rd
Behavior: b_rd
Deny
配置⽂件
