H3C-基于时间的ACL

上传人:M****1 文档编号:1119994 上传时间:2017-05-28 格式:DOC 页数:7 大小:81KB
返回 下载 相关 举报
H3C-基于时间的ACL_第1页
第1页 / 共7页
H3C-基于时间的ACL_第2页
第2页 / 共7页
H3C-基于时间的ACL_第3页
第3页 / 共7页
H3C-基于时间的ACL_第4页
第4页 / 共7页
H3C-基于时间的ACL_第5页
第5页 / 共7页
点击查看更多>>
资源描述

《H3C-基于时间的ACL》由会员分享,可在线阅读,更多相关《H3C-基于时间的ACL(7页珍藏版)》请在金锄头文库上搜索。

1、ACL 典型配置举例热度 1 已有 249 次阅读 2011-10-7 13:55 1.4 ACL 典型配置举例 1.4.1 基本 ACL 配置举例 1. 组网需求 通过基本 ACL,实现在每天 8:0018:00 时间段内对源 IP 为 10.1.1.1 主机发出报文的过滤(该主机从交换机的 Ethernet2/1/1 接入)。2. 组网图 图 1-1 基本 ACL 典型配置组网图3. 配置步骤 & 说明:以下的配置,只列出了与 ACL 配置相关的命令。(1) 定义时间段# 定义 8:0018:00 时间段。system-viewH3C time-range test 8:00 to 18:

2、00 daily(2) 定义源 IP 为 10.1.1.1 的 ACL# 进入基于名字的基本 ACL 视图,命名为 traffic-of-host。H3C acl name traffic-of-host basic# 定义源 IP 为 10.1.1.1 的访问规则。H3C-acl-basic-traffic-of-host rule 1 deny source 10.1.1.1 0 time-range testH3C-acl-basic-traffic-of-host quit(3) 激活 ACL# 将 traffic-of-host 的 ACL 激活。H3C interface ethe

3、rnet2/1/1H3C-Ethernet2/1/1 packet-filter inbound ip-group traffic-of-host1.4.2 高级 ACL 配置举例 1. 组网需求 l 某公司通过 VLAN 划分为 2 个部门,研发部属于 VLAN 10,IP地址为 10.10.10.0/24,人力资源部属于 VLAN 11,IP 地址为 10.11.11.0/24;l 研发部 PC 通过交换机 GE2/1/1 到 GE2/1/4 的端口连接;人力资源部 PC 连接在交换机 GE3/1/1 到 GE3/1/5;l 人力资源部有工资服务器(Server),IP 地址为:10.11

4、.11.11/24;l 要求通过配置 ACL,满足研发部除特定 PC(IP 地址为:10.10.10.2/24 与 10.10.10.3/24)外,其余 PC 在 8:00 到 18:00 时间段内禁止访问工资服务器。2. 组网图 图 1-2 高级 ACL 典型配置组网图3. 配置步骤 & 说明:以下的配置,只列出了与 ACL 配置相关的命令。# 定义 8:00 至 18:00 的周期时间段。system-viewH3C time-range worktime 8:00 to 18:00 working-day# 在交换机上创建 VLAN 10 和 VLAN 11,并配置 VLAN 接口地址,

5、使研发部 PC能访问人力资源部的工资服务器。H3C vlan 10H3C-vlan10 port gigabitethernet 2/1/1 to gigabitethernet 2/1/4H3C-vlan10 quitH3C interface vlan-interface 10H3C-Vlan-interface10 ip address 10.10.10.1 255.255.255.0H3C-Vlan-interface10 quitH3C vlan 11H3C-vlan11 port gigabitethernet 3/1/1 to gigabitethernet 3/1/5H3C-v

6、lan11 quitH3C interface vlan-interface 11H3C-Vlan-interface11 ip address 10.11.11.1 255.255.255.0H3C-Vlan-interface11 quit# 在交换机上配置 ACL 规则。H3C acl number 3000H3C-acl-adv-3000 rule 0 permit ip source 10.10.10.2 0H3C-acl-adv-3000 rule 1 permit ip source 10.10.10.3 0H3C-acl-adv-3000 rule 2 deny ip sour

7、ce 10.10.10.0 0.0.0.255 destination 10.11.11.11 0 time-range worktimeH3C-acl-adv-3000 quit# 在相应的交换机端口上激活访问控制列表。H3C interface gigabitethernet 2/1/1H3C-GigabitEthernet2/1/1 packet-filter inbound ip-group 3000H3C-GigabitEthernet2/1/1 quitH3C interface gigabitethernet 2/1/2H3C-GigabitEthernet2/1/2 packe

8、t-filter inbound ip-group 3000H3C-GigabitEthernet2/1/2 quitH3C interface gigabitethernet 2/1/3H3C-GigabitEthernet2/1/3 packet-filter inbound ip-group 3000H3C-GigabitEthernet2/1/3 quitH3C interface gigabitethernet 2/1/4H3C-GigabitEthernet2/1/4 packet-filter inbound ip-group 30001.4.3 二层 ACL 过滤指定 MAC

9、报文配置举例 1. 组网需求 通过二层 ACL,实现在每天 8:0018:00 时间段内对源 MAC 为 010A-E201-0101、目的 MAC 为 0260-E207-0202 的报文的过滤。(在交换机的Ethernet2/1/1 进行本项配置)2. 组网图 图 1-3 二层 ACL 过滤指定 MAC 报文配置组网图3. 配置步骤 & 说明:以下的配置,只列出了与 ACL 配置相关的命令。(1) 定义时间段system-viewH3C time-range test 8:00 to 18:00 daily(2) 创建用户自定义流模板H3C flow-template user-defin

10、ed slot 2 smac 0-0-0 dmac 0-0-0(3) 定义源 MAC 为 010A-E201-0101、目的 MAC 为 0260-E207-0202 的ACLH3C acl name traffic-of-link linkH3C-acl-link-traffic-of-link rule 1 deny ingress 010a-e201-0101 0-0-0 egress 0260-e207-0202 0-0-0 time-range testH3C-acl-link-traffic-of-link quit(4) 在端口下应用用户自定义流模板,并激活 ACL# 在端口 E

11、thernet2/1/1 下应用用户自定义流模板。H3C interface ethernet2/1/1H3C-Ethernet2/1/1 flow-template user-defined# 将 traffic-of-link 的 ACL 在端口下激活。H3C-Ethernet2/1/1 packet-filter inbound link-group traffic-of-link1.4.4 二层 ACL 过滤 ARP 报文配置举例 1. 组网需求 交换机作为网关设备,下挂某用户 PC,该用户 PC 因感染病毒而发出大量的 ARP报文攻击网关设备,冲击交换机的 CPU。本配置任务要求:通

12、过配置来丢弃此用户发出的 ARP 报文,假设此用户的源MAC 地址为 010A-E201-0101。2. 组网图 图 1-4 二层 ACL 过滤 ARP 报文配置组网图3. 配置步骤 (1) 定义二层 ACL 子规则system-viewH3C acl number 4000H3C-acl-link-4000 rule 0 deny arp ingress 010a-e201-0101 0-0-0H3C-acl-link-4000 quit(2) 进入端口 Ethernet2/1/1,在端口下配置过滤规则H3C interface ethernet 2/1/1H3C-Ethernet2/1/1

13、 packet-filter inbound link-group 4000 rule 01.4.5 BT 禁流配置举例 1. 组网需求 BitTorrent(比特洪流,简称 BT)是一种用来进行文件下载的共享软件,其特点是:下载的人越多,速度越快。BT 下载大大降低了下载服务器的负荷,但也造成网络下载的数据量剧增,使得网络带宽被大量的 BT 下载流量占据,严重影响其它网络业务,由此产生了对 BT 流量进行有效控制的需求。本配置任务要求通过配置合适的 ACL 及其子规则,达到禁止 BT 数据流通过端口GigabitEthernet7/1/8 的目的。注意:l LSB1XP4 系列单板不支持 B

14、T 禁流配置。l 后缀为 DA/DB/DC 的单板不支持 BT 禁流配置。2. 组网图 图 1-5 BT 禁止配置组网图3. 配置步骤 (1) 定义用户自定义流模板system-viewH3C flow-template user-defined slot 7 ip-protocol bt-flag sip 0.0.0.0 dport(2) 定义高级 ACL 子规则H3C acl number 3000H3C-acl-adv-3000 rule 0 deny tcp bt-flagH3C-acl-adv-3000 quit(3) 进入端口 GE7/1/8,在端口下配置 BT 禁流H3C interface gigabitethernet 7/1/8H3C-GigabitEthernet7/1/8 flow-template user-definedH3C-GigabitEthernet7/1/8 packet-filter inbound ip-group 3000 rule 0

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号