配置通过流策略实现不同网段间限制互访示例
组网图形
设备 |
接口 |
接口所属VLAN |
对应的三层接口 |
IP地址 |
SwitchA |
GigabitEthernet1/0/1 |
VLAN 10 |
- |
- |
GigabitEthernet1/0/2 |
VLAN 20 |
- |
- |
|
GigabitEthernet1/0/3 |
VLAN 30 |
- |
- |
|
GigabitEthernet1/0/4 |
VLAN 10、VLAN 20、VLAN 30 |
- |
- |
|
Switch |
GigabitEthernet1/0/1 |
VLAN 10、VLAN 20、VLAN 30 |
VLANIF10、VLANIF20、VLANIF30 |
VLANIF10:192.168.1.1/24 VLANIF20:192.168.2.1/24 VLANIF30:192.168.3.1/24 |
GigabitEthernet1/0/2 |
VLAN 40 |
VLANIF40 |
10.1.20.2/24 |
^^^
- 简介
- 配置注意事项
- 组网需求
- 配置思路
- 操作步骤
- 配置文件
简介
MQC是指通过将具有某类共同特征的报文划分为一类,并为同一类报文提供相同的服务,也可以对不同类的报文提供不同的服务。
高级ACL可以在规则中使用源IP地址和目的IP地址信息来定义允许和拒绝通过的数据流。在流分类中按照ACL对报文进行分类,并指定对匹配的报文采取的动作(允许或拒绝通过)。本例就是使用该方法实现不同网段间的互访限制。
配置注意事项
ACL与流策略经常组合使用。流策略定义符合ACL的流分类,然后再定义符合流分类的行为,即动作,例如允许通过,拒绝通过等等。
ACL里面的permit/deny与流策略中的behavior的permit/deny组合有如下四种情况:
ACL |
流策略中的behavior |
匹配报文的最终处理结果 |
permit |
permit |
permit |
permit |
deny |
deny |
deny |
permit |
deny |
deny |
deny |
deny |
交换机目前默认报文都是permit的,如果只要求网段之间不能访问,只需要在ACl中配置想要deny的报文。如果最后多添加一条rule permit命令,此时所有报文都会命中此规则。如果在behavior中配置deny,将会过滤所有报文,导致全部业务中断。
- 本举例适用的产品包括:
- S2752EI、S2710-SI、S2720-EI、S2750-EI
- S3700-SI、S3700-EI、S3700-HI
- S5700-LI、S5700S-LI、S5700-SI、S5700-EI、S5700-HI、S5710-C-LI、S5710-X-LI、S5710-EI、S5710-HI、S5720-LI、S5720S-LI、S5720-SI、S5720S-SI、S5720I-SI、S5720-EI、S5720-HI、S5730-HI、S5730-SI、S5730S-EI、S5731-H、S5731-S、S5731S-S、S5731S-H、S5731-H-K、S5732-H、S5732-H-K、S2730S-S、S5735-L-I、S5735-L1、S300、S5735-L、S5735S-L1、S5735S-L、S5735S-L-M、S500、S5735-S、S5735S-S、S5735-S-I、S5735S-H、S5736-S
- S6700-EI、S6720-LI、S6720S-LI、S6720-SI、S6720S-SI、S6720-EI、S6720S-EI、S6720-HI、S6730-H、S6730-S、S6730S-S、S6730S-H、S6730-H-K
- S7703、S7706、S7712、S7710、S7703 PoE、S7706 PoE、S7905、S7908、S9703、S9706、S9712
- 本举例中产品的默认适用版本请参见“案例适用的产品和版本说明”中的表1。
如需了解交换机软件配套详细信息,在选择产品系列或产品型号后,在“硬件中心”进行查询。
S5731-L和S5731S-L属于远端模块,不支持Web管理、YANG和命令行,仅支持通过中心交换机对其下发配置,相关操作请参见《S300, S500, S2700, S5700, S6700 V200R022C00 配置指南-设备管理》中的“智能极简园区网络配置(小行星方案)”。
组网需求
如图1所示,公司内部有三个部门,分别属于VLAN 10、VLAN 20和VLAN 30。为了安全考虑,VLAN 10的用户只能访问VLAN 20,但不能访问VLAN30。要求三个部门都能正常上网,没有其他限制。
配置思路
采用如下的思路配置不同网段间限制互访:
- 创建VLAN,配置各接口和路由协议,实现公司和外部网络互通。
- 在Switch上配置ACL规则,分别匹配需要允许和拒绝访问的数据流。
- 在Switch上配置流分类,按照ACL对报文进行分类。
- 在Switch上配置流行为,动作为permit,允许访问(拒绝访问的数据流在ACL中定义)。
- 在Switch上配置流策略,绑定流分类和流行为,并应用到与SwitchA相连的GE1/0/1接口的入方向,实现不同网段限制互访的要求。
操作步骤
- 创建VLAN,配置各接口和路由协议# 配置Switch。
<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] vlan batch 10 20 30 40 //创建VLAN 10~VLAN 40
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type trunk //设置接口接入类型为trunk
[Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 10 20 30 //将接口划分到VLAN 10、VLAN 20、VLAN 30
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] port link-type access //设置接口接入类型为access
[Switch-GigabitEthernet1/0/2] port default vlan 40 //将接口划分到VLAN 40
[Switch-GigabitEthernet1/0/2] quit
[Switch] interface vlanif 10 //创建VLANIF接口
[Switch-Vlanif10] ip address 192.168.1.1 255.255.255.0 //配置VLANIF接口的IP地址,此IP地址为192.168.1.0/24网段的网关
[Switch-Vlanif10] quit
[Switch] interface vlanif 20
[Switch-Vlanif20] ip address 192.168.2.1 255.255.255.0
[Switch-Vlanif20] quit
[Switch] interface vlanif 30
[Switch-Vlanif30] ip address 192.168.3.1 255.255.255.0
[Switch-Vlanif30] quit
[Switch] interface vlanif 40 //创建VLANIF接口
[Switch-Vlanif40] ip address 10.1.20.2 255.255.255.0 //配置VLANIF接口的IP地址,用于与Router互连
[Switch-Vlanif40] quit
[Switch] ip route-static 0.0.0.0 0 10.1.20.1 //配置静态路由指向外网,实现互通
- # 配置SwitchA。
<HUAWEI> system-view
[HUAWEI] sysname SwitchA
[SwitchA] vlan batch 10 20 30 //创建VLAN 10~VLAN 30
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port link-type access //设置接口接入类型为access
[SwitchA-GigabitEthernet1/0/1] port default vlan 10 //将接口划分到VLAN 10
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] port link-type access
[SwitchA-GigabitEthernet1/0/2] port default vlan 20
[SwitchA-GigabitEthernet1/0/2] quit
[SwitchA] interface gigabitethernet 1/0/3
[SwitchA-GigabitEthernet1/0/3] port link-type access
[SwitchA-GigabitEthernet1/0/3] port default vlan 30
[SwitchA-GigabitEthernet1/0/3] quit
[SwitchA] interface gigabitethernet 1/0/4
[SwitchA-GigabitEthernet1/0/4] port link-type trunk //设置接口接入类型为trunk
[SwitchA-GigabitEthernet1/0/4] port trunk allow-pass vlan 10 20 30
[SwitchA-GigabitEthernet1/0/4] quit
- # 配置路由器。
配置路由器上与Switch相连的接口的IP地址为10.1.20.1/24。 - 配置ACL# 在Switch上配置ACL规则,分别匹配需要允许和拒绝访问的数据流。
[Switch] acl 3000
[Switch-acl-adv-3000] rule deny ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 //配置拒绝VLAN 10到VLAN 30的数据流通过
[Switch-acl-adv-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 //配置允许VLAN 10到VLAN 20的数据流通过
[Switch-acl-adv-3000] rule permit ip source any //如果内网的网段比较多,允许不做限制互访的数据流通过
[Switch-acl-adv-3000] quit
- 配置流分类# 在Switch上配置流分类,按照ACL对报文进行分类。
[Switch] traffic classifier c1 operator and
[Switch-classifier-c1] if-match acl 3000
[Switch-classifier-c1] quit
- 配置流行为# 在Switch上配置流行为,动作为permit。
[Switch] traffic behavior b1
[Switch-behavior-b1] permit
[Switch-behavior-b1] quit
- 配置流策略并应用到接口# 在Switch上创建流策略,将流分类和对应的流行为进行绑定,并将流策略应用到与SwitchA相连的接口GE1/0/1的入方向上。
[Switch] traffic policy p1
[Switch-trafficpolicy-p1] classifier c1 behavior b1
[Switch-trafficpolicy-p1] quit
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] traffic-policy p1 inbound
[Switch-GigabitEthernet1/0/1] quit
- 验证配置结果# 查看ACL规则的配置信息。
[Switch] display acl 3000
Advanced ACL 3000, 3 rules
Acl's step is 5
rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255 (match-counter 0)
rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 (match-counter 0)
rule 15 permit ip (match-counter 0)
V200R009以及之后版本,display acl命令不再显示(match-counter 0)。
# 查看流策略的配置信息。
[Switch] display traffic policy user-defined p1
User Defined Traffic Policy Information:
Policy: p1
Classifier: c1
Operator: AND
Behavior: b1
Permit
- # 192.168.1.0/24网段可以ping通192.168.2.0/24网段,表示VLAN 10的用户可以访问VLAN 20。
# 192.168.1.0/24网段无法ping通192.168.3.0/24网段,表示VLAN 10的用户不能访问VLAN 30。
# 192.168.1.0/24、192.168.2.0/24、192.168.3.0/24网段可以ping通路由器接口的IP地址10.1.20.1/24,表示三个部门的用户可以正常上网。
配置文件
- Switch的配置文件
#
sysname Switch
#
vlan batch 10 20 30 40
#
acl number 3000
rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
rule 15 permit ip
#
traffic classifier c1 operator and precedence 5
if-match acl 3000
#
traffic behavior b1
permit
#
traffic policy p1 match-order config
classifier c1 behavior b1
#
interface Vlanif10
ip address 192.168.1.1 255.255.255.0
#
interface Vlanif20
ip address 192.168.2.1 255.255.255.0
#
interface Vlanif30
ip address 192.168.3.1 255.255.255.0
#
interface Vlanif40
ip address 10.1.20.2 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 30
traffic-policy p1 inbound
#
interface GigabitEthernet1/0/2
port link-type access
port default vlan 40
#
ip route-static 0.0.0.0 0.0.0.0 10.1.20.1
#
return
- SwitchA的配置文件
#
sysname SwitchA
#
vlan batch 10 20 30
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 10
#
interface GigabitEthernet1/0/2
port link-type access
port default vlan 20
#
interface GigabitEthernet1/0/3
port link-type access
port default vlan 30
#
interface GigabitEthernet1/0/4
port link-type trunk
port trunk allow-pass vlan 10 20 30
#
return
