H3C-基于时间的ACL.doc
7页
ACL 典型配置举例热度 1 已有 249 次阅读 2011-10-7 13:55 1.4 ACL 典型配置举例 1.4.1 基本 ACL 配置举例 1. 组网需求 通过基本 ACL,实现在每天 8:00~18:00 时间段内对源 IP 为 10.1.1.1 主机发出报文的过滤(该主机从交换机的 Ethernet2/1/1 接入)2. 组网图 图 1-1 基本 ACL 典型配置组网图3. 配置步骤 & 说明:以下的配置,只列出了与 ACL 配置相关的命令1) 定义时间段# 定义 8:00~18:00 时间段system-view[H3C] time-range test 8:00 to 18:00 daily(2) 定义源 IP 为 10.1.1.1 的 ACL# 进入基于名字的基本 ACL 视图,命名为 traffic-of-host[H3C] acl name traffic-of-host basic# 定义源 IP 为 10.1.1.1 的访问规则[H3C-acl-basic-traffic-of-host] rule 1 deny source 10.1.1.1 0 time-range test[H3C-acl-basic-traffic-of-host] quit(3) 激活 ACL# 将 traffic-of-host 的 ACL 激活。
[H3C] interface ethernet2/1/1[H3C-Ethernet2/1/1] packet-filter inbound ip-group traffic-of-host1.4.2 高级 ACL 配置举例 1. 组网需求 l 某公司通过 VLAN 划分为 2 个部门,研发部属于 VLAN 10,IP地址为 10.10.10.0/24,人力资源部属于 VLAN 11,IP 地址为 10.11.11.0/24;l 研发部 PC 通过交换机 GE2/1/1 到 GE2/1/4 的端口连接;人力资源部 PC 连接在交换机 GE3/1/1 到 GE3/1/5;l 人力资源部有工资服务器(Server),IP 地址为:10.11.11.11/24;l 要求通过配置 ACL,满足研发部除特定 PC(IP 地址为:10.10.10.2/24 与 10.10.10.3/24)外,其余 PC 在 8:00 到 18:00 时间段内禁止访问工资服务器2. 组网图 图 1-2 高级 ACL 典型配置组网图3. 配置步骤 & 说明:以下的配置,只列出了与 ACL 配置相关的命令。
定义 8:00 至 18:00 的周期时间段system-view[H3C] time-range worktime 8:00 to 18:00 working-day# 在交换机上创建 VLAN 10 和 VLAN 11,并配置 VLAN 接口地址,使研发部 PC能访问人力资源部的工资服务器[H3C] vlan 10[H3C-vlan10] port gigabitethernet 2/1/1 to gigabitethernet 2/1/4[H3C-vlan10] quit[H3C] interface vlan-interface 10[H3C-Vlan-interface10] ip address 10.10.10.1 255.255.255.0[H3C-Vlan-interface10] quit[H3C] vlan 11[H3C-vlan11] port gigabitethernet 3/1/1 to gigabitethernet 3/1/5[H3C-vlan11] quit[H3C] interface vlan-interface 11[H3C-Vlan-interface11] ip address 10.11.11.1 255.255.255.0[H3C-Vlan-interface11] quit# 在交换机上配置 ACL 规则。
[H3C] acl number 3000[H3C-acl-adv-3000] rule 0 permit ip source 10.10.10.2 0[H3C-acl-adv-3000] rule 1 permit ip source 10.10.10.3 0[H3C-acl-adv-3000] rule 2 deny ip source 10.10.10.0 0.0.0.255 destination 10.11.11.11 0 time-range worktime[H3C-acl-adv-3000] quit# 在相应的交换机端口上激活访问控制列表[H3C] interface gigabitethernet 2/1/1[H3C-GigabitEthernet2/1/1] packet-filter inbound ip-group 3000[H3C-GigabitEthernet2/1/1] quit[H3C] interface gigabitethernet 2/1/2[H3C-GigabitEthernet2/1/2] packet-filter inbound ip-group 3000[H3C-GigabitEthernet2/1/2] quit[H3C] interface gigabitethernet 2/1/3[H3C-GigabitEthernet2/1/3] packet-filter inbound ip-group 3000[H3C-GigabitEthernet2/1/3] quit[H3C] interface gigabitethernet 2/1/4[H3C-GigabitEthernet2/1/4] packet-filter inbound ip-group 30001.4.3 二层 ACL 过滤指定 MAC 报文配置举例 1. 组网需求 通过二层 ACL,实现在每天 8:00~18:00 时间段内对源 MAC 为 010A-E201-0101、目的 MAC 为 0260-E207-0202 的报文的过滤。
在交换机的Ethernet2/1/1 进行本项配置)2. 组网图 图 1-3 二层 ACL 过滤指定 MAC 报文配置组网图3. 配置步骤 & 说明:以下的配置,只列出了与 ACL 配置相关的命令1) 定义时间段system-view[H3C] time-range test 8:00 to 18:00 daily(2) 创建用户自定义流模板[H3C] flow-template user-defined slot 2 smac 0-0-0 dmac 0-0-0(3) 定义源 MAC 为 010A-E201-0101、目的 MAC 为 0260-E207-0202 的ACL[H3C] acl name traffic-of-link link[H3C-acl-link-traffic-of-link] rule 1 deny ingress 010a-e201-0101 0-0-0 egress 0260-e207-0202 0-0-0 time-range test[H3C-acl-link-traffic-of-link] quit(4) 在端口下应用用户自定义流模板,并激活 ACL# 在端口 Ethernet2/1/1 下应用用户自定义流模板。
[H3C] interface ethernet2/1/1[H3C-Ethernet2/1/1] flow-template user-defined# 将 traffic-of-link 的 ACL 在端口下激活[H3C-Ethernet2/1/1] packet-filter inbound link-group traffic-of-link1.4.4 二层 ACL 过滤 ARP 报文配置举例 1. 组网需求 交换机作为网关设备,下挂某用户 PC,该用户 PC 因感染病毒而发出大量的 ARP报文攻击网关设备,冲击交换机的 CPU本配置任务要求:通过配置来丢弃此用户发出的 ARP 报文,假设此用户的源MAC 地址为 010A-E201-01012. 组网图 图 1-4 二层 ACL 过滤 ARP 报文配置组网图3. 配置步骤 (1) 定义二层 ACL 子规则system-view[H3C] acl number 4000[H3C-acl-link-4000] rule 0 deny arp ingress 010a-e201-0101 0-0-0[H3C-acl-link-4000] quit(2) 进入端口 Ethernet2/1/1,在端口下配置过滤规则[H3C] interface ethernet 2/1/1[H3C-Ethernet2/1/1] packet-filter inbound link-group 4000 rule 01.4.5 BT 禁流配置举例 1. 组网需求 BitTorrent(比特洪流,简称 BT)是一种用来进行文件下载的共享软件,其特点是:下载的人越多,速度越快。
BT 下载大大降低了下载服务器的负荷,但也造成网络下载的数据量剧增,使得网络带宽被大量的 BT 下载流量占据,严重影响其它网络业务,由此产生了对 BT 流量进行有效控制的需求本配置任务要求通过配置合适的 ACL 及其子规则,达到禁止 BT 数据流通过端口GigabitEthernet7/1/8 的目的注意:l LSB1XP4 系列单板不支持 BT 禁流配置l 后缀为 DA/DB/DC 的单板不支持 BT 禁流配置2. 组网图 图 1-5 BT 禁止配置组网图3. 配置步骤 (1) 定义用户自定义流模板system-view[H3C] flow-template user-defined slot 7 ip-protocol bt-flag sip 0.0.0.0 dport(2) 定义高级 ACL 子规则[H3C] acl number 3000[H3C-acl-adv-3000] rule 0 deny tcp bt-flag[H3C-acl-adv-3000] quit(3) 进入端口 GE7/1/8,在端口下配置 BT 禁流[H3C] interface gigabitethernet 7/1/8[H3C-GigabitEthernet7/1/8] flow-template user-defined[H3C-GigabitEthernet7/1/8] packet-filter inbound ip-group 3000 rule 0。
