H3C-基于时间的ACL.doc

ACL典型配置举例热度 1已有 249 次阅读2011-10-7 13:55 1.4 ACL典型配置举例 1.4.1 基本ACL配置举例 1. 组网需求 通过基本ACL，实现在每天8:0018:00时间段内对源IP为10.1.1.1主机发出报文的过滤（该主机从交换机的Ethernet2/1/1接入）。2. 组网图 图1-1 基本ACL典型配置组网图3. 配置步骤 & 说明：以下的配置，只列出了与ACL配置相关的命令。(1) 定义时间段# 定义8:0018:00时间段。 system-viewH3C time-range test 8:00 to 18:00 daily(2) 定义源IP为10.1.1.1的ACL# 进入基于名字的基本ACL视图，命名为traffic-of-host。H3C acl name traffic-of-host basic# 定义源IP为10.1.1.1的访问规则。H3C-acl-basic-traffic-of-host rule 1 deny source 10.1.1.1 0 time-range testH3C-acl-basic-traffic-of-host quit(3) 激活ACL# 将traffic-of-host的ACL激活。H3C interface ethernet2/1/1H3C-Ethernet2/1/1 packet-filter inbound ip-group traffic-of-host1.4.2 高级ACL配置举例 1. 组网需求 l 某公司通过VLAN划分为2个部门，研发部属于VLAN 10，IP地址为10.10.10.0/24，人力资源部属于VLAN 11，IP地址为10.11.11.0/24；l 研发部PC通过交换机GE2/1/1到GE2/1/4的端口连接；人力资源部PC连接在交换机GE3/1/1到GE3/1/5；l 人力资源部有工资服务器（Server），IP地址为：10.11.11.11/24；l 要求通过配置ACL，满足研发部除特定PC（IP地址为：10.10.10.2/24与10.10.10.3/24）外，其余PC在8:00到18:00时间段内禁止访问工资服务器。2. 组网图 图1-2 高级ACL典型配置组网图3. 配置步骤 & 说明：以下的配置，只列出了与ACL配置相关的命令。# 定义8:00至18:00的周期时间段。 system-viewH3C time-range worktime 8:00 to 18:00 working-day# 在交换机上创建VLAN 10和VLAN 11，并配置VLAN接口地址，使研发部PC能访问人力资源部的工资服务器。H3C vlan 10H3C-vlan10 port gigabitethernet 2/1/1 to gigabitethernet 2/1/4H3C-vlan10 quitH3C interface vlan-interface 10H3C-Vlan-interface10 ip address 10.10.10.1 255.255.255.0H3C-Vlan-interface10 quitH3C vlan 11H3C-vlan11 port gigabitethernet 3/1/1 to gigabitethernet 3/1/5H3C-vlan11 quitH3C interface vlan-interface 11H3C-Vlan-interface11 ip address 10.11.11.1 255.255.255.0H3C-Vlan-interface11 quit# 在交换机上配置ACL规则。H3C acl number 3000H3C-acl-adv-3000 rule 0 permit ip source 10.10.10.2 0H3C-acl-adv-3000 rule 1 permit ip source 10.10.10.3 0H3C-acl-adv-3000 rule 2 deny ip source 10.10.10.0 0.0.0.255 destination 10.11.11.11 0 time-range worktimeH3C-acl-adv-3000 quit# 在相应的交换机端口上激活访问控制列表。H3C interface gigabitethernet 2/1/1H3C-GigabitEthernet2/1/1 packet-filter inbound ip-group 3000H3C-GigabitEthernet2/1/1 quitH3C interface gigabitethernet 2/1/2H3C-GigabitEthernet2/1/2 packet-filter inbound ip-group 3000H3C-GigabitEthernet2/1/2 quitH3C interface gigabitethernet 2/1/3H3C-GigabitEthernet2/1/3 packet-filter inbound ip-group 3000H3C-GigabitEthernet2/1/3 quitH3C interface gigabitethernet 2/1/4H3C-GigabitEthernet2/1/4 packet-filter inbound ip-group 30001.4.3 二层ACL过滤指定MAC报文配置举例 1. 组网需求 通过二层ACL，实现在每天8:0018:00时间段内对源MAC为010A-E201-0101、目的MAC为0260-E207-0202的报文的过滤。（在交换机的Ethernet2/1/1进行本项配置）2. 组网图 图1-3 二层ACL过滤指定MAC报文配置组网图3. 配置步骤 & 说明：以下的配置，只列出了与ACL配置相关的命令。(1) 定义时间段 system-viewH3C time-range test 8:00 to 18:00 daily(2) 创建用户自定义流模板H3C flow-template user-defined slot 2 smac 0-0-0 dmac 0-0-0(3) 定义源MAC为010A-E201-0101、目的MAC为0260-E207-0202的ACLH3C acl name traffic-of-link linkH3C-acl-link-traffic-of-link rule 1 deny ingress 010a-e201-0101 0-0-0 egress 0260-e207-0202 0-0-0 time-range testH3C-acl-link-traffic-of-link quit(4) 在端口下应用用户自定义流模板，并激活ACL# 在端口Ethernet2/1/1下应用用户自定义流模板。H3C interface ethernet2/1/1H3C-Ethernet2/1/1 flow-template user-defined# 将traffic-of-link的ACL在端口下激活。H3C-Ethernet2/1/1 packet-filter inbound link-group traffic-of-link1.4.4 二层ACL过滤ARP报文配置举例 1. 组网需求 交换机作为网关设备，下挂某用户PC，该用户PC因感染病毒而发出大量的ARP报文攻击网关设备，冲击交换机的CPU。本配置任务要求：通过配置来丢弃此用户发出的ARP报文，假设此用户的源MAC地址为010A-E201-0101。2. 组网图 图1-4 二层ACL过滤ARP报文配置组网图3. 配置步骤 (1) 定义二层ACL子规则 system-viewH3C acl number 4000H3C-acl-link-4000 rule 0 deny arp ingress 010a-e201-0101 0-0-0H3C-acl-link-4000 quit(2) 进入端口Ethernet2/1/1，在端口下配置过滤规则H3C interface ethernet 2/1/1H3C-Ethernet2/1/1 packet-filter inbound link-group 4000 rule 01.4.5 BT禁流配置举例 1. 组网需求 BitTorrent（比特洪流，简称BT）是一种用来进行文件下载的共享软件，其特点是：下载的人越多，速度越快。BT下载大大降低了下载服务器的负荷，但也造成网络下载的数据量剧增，使得网络带宽被大量的BT下载流量占据，严重影响其它网络业务，由此产生了对BT流量进行有效控制的需求。本配置任务要求通过配置合适的ACL及其子规则，达到禁止BT数据流通过端口GigabitEthernet7/1/8的目的。 注意：l LSB1XP4系列单板不支持BT禁流配置。l 后缀为DA/DB/DC的单板不支持BT禁流配置。2. 组网图 图1-5 BT禁止配置组网图3. 配置步骤 (1) 定义用户自定义流模板 system-viewH3C flow-template user-defined slot 7 ip-protocol bt-flag sip 0.0.0.0 dport(2) 定义高级ACL子规则H3C acl number 3000H3C-acl-adv-3000 rule 0 deny tcp