组网图形

图1使用高级ACL限制不同网段的用户互访示例

组网需求

如图一所示，某公司通过Switch实现各部门之间的互连。为方便管理网络，管理员为公司的研发部和市场部规划了两个网段的IP地址。同时为了隔离广播域，又将两个部门划分在不同VLAN之中。现要求Switch能够限制两个网段之间互访，防止公司机密泄露。

配置思路

采用如下的思路在Switch上进行配置：

1.   配置高级ACL和基于ACL的流分类，使设备可以对研发部与市场部互访的报文进行过滤。

2.   配置流行为，拒绝匹配上ACL的报文通过。

3.   配置并应用流策略，使ACL和流行为生效。

操作步骤

1.   配置接口所属的VLAN以及接口的IP地址

# 创建VLAN10和VLAN20。

system-view

[HUAWEI] sysname Switch

[Switch] vlan batch 10 20

#配置Switch的接口GE1/0/1和GE1/0/2为trunk类型接口，并分别加入VLAN10和VLAN20。

[Switch] interface gigabitethernet 1/0/1

[Switch-GigabitEthernet1/0/1] port link-type trunk

[Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 10

[Switch-GigabitEthernet1/0/1] quit

[Switch] interface gigabitethernet 1/0/2

[Switch-GigabitEthernet1/0/2] port link-type trunk

[Switch-GigabitEthernet1/0/2] port trunk allow-pass vlan 20

[Switch-GigabitEthernet1/0/2] quit

#创建VLANIF10和VLANIF20，并配置各VLANIF接口的IP地址。

[Switch] interface vlanif 10

[Switch-Vlanif10] ip address 10.1.1.1 24

[Switch-Vlanif10] quit

[Switch] interface vlanif 20

[Switch-Vlanif20] ip address 10.1.2.1 24

[Switch-Vlanif20] quit

2.   配置ACL

# 创建高级ACL 3001并配置ACL规则，拒绝研发部访问市场部的报文通过。

[Switch] acl 3001

[Switch-acl-adv-3001] rule deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

[Switch-acl-adv-3001] quit

#创建高级ACL 3002并配置ACL规则，拒绝市场部访问研发部的报文通过。

[Switch] acl 3002

[Switch-acl-adv-3002] rule deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

[Switch-acl-adv-3002] quit

3.   配置基于高级ACL的流分类

# 配置流分类tc1，对匹配ACL 3001和ACL 3002的报文进行分类。

[Switch] traffic classifier tc1

[Switch-classifier-tc1] if-match acl 3001

[Switch-classifier-tc1] if-match acl 3002

[Switch-classifier-tc1] quit

4.   配置流行为

# 配置流行为tb1，动作为拒绝报文通过。

[Switch] traffic behavior tb1

[Switch-behavior-tb1] deny

[Switch-behavior-tb1] quit

5.   配置流策略

# 定义流策略，将流分类与流行为关联。

[Switch] traffic policy tp1

[Switch-trafficpolicy-tp1] classifier tc1 behavior tb1

[Switch-trafficpolicy-tp1] quit

6.   在接口下应用流策略

# 由于研发部和市场部互访的流量分别从接口GE1/0/1和GE1/0/2进入Switch，所以在接口GE1/0/1和GE1/0/2的入方向应用流策略。

[Switch] interface gigabitethernet 1/0/1

[Switch-GigabitEthernet1/0/1] traffic-policy tp1 inbound

[Switch-GigabitEthernet1/0/1] quit

[Switch] interface gigabitethernet 1/0/2

[Switch-GigabitEthernet1/0/2] traffic-policy tp1 inbound

[Switch-GigabitEthernet1/0/2] quit

7.   验证配置结果

# 查看ACL规则的配置信息。

[Switch] display acl 3001

Advanced ACL 3001, 1 rule

Acl's step is 5

rule 5 deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

[Switch] display acl 3002

Advanced ACL 3002, 1 rule

Acl's step is 5

rule 5 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

#查看流分类的配置信息。

[Switch] display traffic classifier user-defined

User Defined Classifier Information:

Classifier: tc1

Precedence: 5

Operator: OR

Rule(s) : if-match acl 3001

if-match acl 3002

Total classifier number is 1

#查看流策略的配置信息。

[Switch] display traffic policy user-defined tp1

User Defined Traffic Policy Information:

Policy: tp1

Classifier: tc1

Operator: OR

Behavior: tb1

Deny

#研发部和市场部所在的两个网段之间不能互访。

配置文件

Switch的配置文件

#

sysname Switch

#

vlan batch 10 20

#

acl number 3001

rule 5 deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

acl number 3002

rule 5 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

#

traffic classifier tc1 operator or precedence 5

if-match acl 3001

if-match acl 3002

#

traffic behavior tb1

deny

#

traffic policy tp1 match-order config

classifier tc1 behavior tb1

#

interface Vlanif10

ip address 10.1.1.1 255.255.255.0

#

interface Vlanif20

ip address 10.1.2.1 255.255.255.0

#

interface GigabitEthernet1/0/1

port link-type trunk

port trunk allow-pass vlan 10

traffic-policy tp1 inbound

#

interface GigabitEthernet1/0/2

port link-type trunk

port trunk allow-pass vlan 20

traffic-policy tp1 inbound

#

return