第08章_ACL典型配置案例.ppt

重新整理 ACL典型配置案例 日期 杭州华三通信技术有限公司版权所有 未经授权不得使用与传播 组网需求 HostA和HostB通过端口GigabitEthernet1 0 1接入交换机 以S5500 EI为例 HostA的IP地址为10 1 1 1 要求配置基本IPv4ACL 实现在每天8 00 18 00的时间段内 只允许HostA发出的IP报文通过 拒绝其它的IP报文通过 基本ACL典型配置案例 定义周期时间段trname 时间范围为每天的8 00 18 00 system view Switch time rangetrname8 00to18 00daily 定义基本IPv4ACL2000 配置源IP地址为10 1 1 1的访问规则 Switch aclnumber2000 Switch acl basic 2000 rulepermitsource10 1 1 10time rangetrname Switch acl basic 2000 quit 定义基本IPv4ACL2001 配置源IP地址为任意地址的访问规则 Switch aclnumber2001 Switch acl basic 2001 ruledenytime rangetrname Switch acl basic 2001 quit 定义类classifier hostA 对匹配基本IPv4ACL2000的报文进行分类 Switch trafficclassifierclassifier hostA Switch classifier classifier hostA if matchacl2000 Switch classifier classifier hostA quit 定义流行为behavior hostA 动作为允许报文通过 Switch trafficbehaviorbehavior hostA Switch behavior behavior hostA filterpermit Switch behavior behavior hostA quit 定义类classifier hostB 对匹配基本IPv4ACL2001的报文进行分类 Switch trafficclassifierclassifier hostB Switch classifier classifier hostB if matchacl2001 Switch classifier classifier hostB quit 定义流行为behavior hostB 动作为拒绝报文通过 Switch trafficbehaviorbehavior hostB Switch behavior behavior hostB filterdeny Switch behavior behavior hostB quit 定义策略policy host 为类classifier hostA指定流行为behavior hostA 为类classifier hostB指定流行为behavior hostB 其中filterpermit和filterdeny动作必须配置到不同的classifier behavior中 并且在配置过程中需要注意两者的先后顺序 以保证应用策略后实际的运行结果与用户的配置意图一致 Switch qospolicypolicy host Switch qospolicy policy host classifierclassifier hostAbehaviorbehavior hostA Switch qospolicy policy host classifierclassifier hostBbehaviorbehavior hostB Switch qospolicy policy host quit 将策略policy host应用到端口GigabitEthernet1 0 1 Switch interfaceGigabitEthernet1 0 1 Switch GigabitEthernet1 0 1 qosapplypolicypolicy hostinbound 组网需求 公司企业网通过交换机 以S5500 EI为例 实现各部门之间的互连 要求配置高级IPv4ACL 禁止研发部门和市场部门在上班时间 8 00至18 00 访问工资查询服务器 IP地址为192 168 4 1 而总裁办公室不受限制 可以随时访问 高级ACL典型配置案例 1 定义工作时间段 定义8 00至18 00的周期时间段 system view Switch time rangetrname8 00to18 00working day 2 定义到工资查询服务器的访问规则 定义研发部门到工资查询服务器的访问规则 Switch aclnumber3000 Switch acl adv 3000 ruledenyipsource192 168 2 00 0 0 255destination192 168 4 10time rangetrname Switch acl adv 3000 quit 定义市场部门到工资查询服务器的访问规则 Switch aclnumber3001 Switch acl adv 3001 ruledenyipsource192 168 3 00 0 0 255destination192 168 4 10time rangetrname Switch acl adv 3001 quit 3 应用访问规则 定义类classifier rd 对匹配高级IPv4ACL3000的报文进行分类 Switch trafficclassifierclassifier rd Switch classifier classifier rd if matchacl3000 Switch classifier classifier rd quit 定义流行为behavior rd 动作为拒绝报文通过 Switch trafficbehaviorbehavior rd Switch behavior behavior rd filterdeny Switch behavior behavior rd quit 定义类classifier market 对匹配高级IPv4ACL3001的报文进行分类 Switch trafficclassifierclassifier market Switch classifier classifier market if matchacl3001 Switch classifier classifier market quit 定义流行为behavior market 动作为拒绝报文通过 Switch trafficbehaviorbehavior market Switch behavior behavior market filterdeny Switch behavior behavior market quit 定义策略policy rd 为类classifier rd指定流行为behavior rd Switch qospolicypolicy rd Switch qospolicy policy rd classifierclassifier rdbehaviorbehavior rd Switch qospolicy policy rd quit 定义策略policy market 为类classifier market指定流行为behavior market Switch qospolicypolicy market Switch qospolicy policy market classifierclassifier marketbehaviorbehavior market Switch qospolicy policy market quit 将策略policy rd应用到端口GigabitEthernet1 0 2 Switch interfaceGigabitEthernet1 0 2 Switch GigabitEthernet1 0 2 qosapplypolicypolicy rdinbound Switch GigabitEthernet1 0 2 quit 将策略policy market应用到端口GigabitEthernet1 0 3 Switch interfaceGigabitEthernet1 0 3 Switch GigabitEthernet1 0 3 qosapplypolicypolicy marketinbound 组网需求 组网需求 HostA和HostB通过端口GigabitEthernet1 0 1接入交换机 以S5500 EI为例 HostA的MAC地址为0011 0011 0011 要求配置二层ACL 实现在每天8 00 18 00的时间段内 对HostA发出的目的MAC为0011 0011 0012的报文进行过滤 二层ACL典型配置案例 定义周期时间段trname 时间范围为每天的8 00 18 00 system view Switch time rangetrname8 00to18 00daily 定义二层ACL4000 配置源MAC地址为0011 0011 0011 目的MAC地址为0011 0011 012的报文的访问规则 Switch aclnumber4000 Switch acl basic 4000 ruledenysource mac0011 0011 0011ffff ffff ffffdest mac0011 0011 0012ffff ffff fffftime rangetrname Switch acl basic 4000 quit 定义类classifier hostA 对匹配二层ACL4000的报文进行分类 Switch trafficclassifierclassifier hostA Switch classifier classifier hostA if matchacl4000 Switch classifier classifier hostA quit 定义流行为behavior hostA 动作为拒绝报文通过 Switch trafficbehaviorbehavior hostA Switch behavior behavior hostA filterdeny Switch behavior behavior hostA quit 定义策略policy hostA 为类classifier hostA指定流行为behavior hostA Switch qospolicypolicy hostA Switch qospolic