H3C-基于时间的ACL

ACL典型配置举例热度1已有249次阅读2011-10-713:551.4ACL典型配置举例1.4.1基本ACL配置举例1.组网需求通过基本ACL，实现在每天8:00～18:00时间段内对源IP为10.1.1.1主机发出报文的过滤（该主机从交换机的Ethernet2/1/1接入）。2.组网图图1-1基本ACL典型配置组网图3.配置步骤&说明：以下的配置，只列出了与ACL配置相关的命令。(1)定义时间段#定义8:00～18:00时间段。H3Csystem-view[H3C]time-rangetest8:00to18:00daily(2)定义源IP为10.1.1.1的ACL#进入基于名字的基本ACL视图，命名为traffic-of-host。[H3C]aclnametraffic-of-hostbasic#定义源IP为10.1.1.1的访问规则。[H3C-acl-basic-traffic-of-host]rule1denysource10.1.1.10time-rangetest[H3C-acl-basic-traffic-of-host]quit(3)激活ACL#将traffic-of-host的ACL激活。[H3C]interfaceethernet2/1/1[H3C-Ethernet2/1/1]packet-filterinboundip-grouptraffic-of-host1.4.2高级ACL配置举例1.组网需求l某公司通过VLAN划分为2个部门，研发部属于VLAN10，IP地址为10.10.10.0/24，人力资源部属于VLAN11，IP地址为10.11.11.0/24；l研发部PC通过交换机GE2/1/1到GE2/1/4的端口连接；人力资源部PC连接在交换机GE3/1/1到GE3/1/5；l人力资源部有工资服务器（Server），IP地址为：10.11.11.11/24；l要求通过配置ACL，满足研发部除特定PC（IP地址为：10.10.10.2/24与10.10.10.3/24）外，其余PC在8:00到18:00时间段内禁止访问工资服务器。2.组网图图1-2高级ACL典型配置组网图3.配置步骤&说明：以下的配置，只列出了与ACL配置相关的命令。#定义8:00至18:00的周期时间段。H3Csystem-view[H3C]time-rangeworktime8:00to18:00working-day#在交换机上创建VLAN10和VLAN11，并配置VLAN接口地址，使研发部PC能访问人力资源部的工资服务器。[H3C]vlan10[H3C-vlan10]portgigabitethernet2/1/1togigabitethernet2/1/4[H3C-vlan10]quit[H3C]interfacevlan-interface10[H3C-Vlan-interface10]ipaddress10.10.10.1255.255.255.0[H3C-Vlan-interface10]quit[H3C]vlan11[H3C-vlan11]portgigabitethernet3/1/1togigabitethernet3/1/5[H3C-vlan11]quit[H3C]interfacevlan-interface11[H3C-Vlan-interface11]ipaddress10.11.11.1255.255.255.0[H3C-Vlan-interface11]quit#在交换机上配置ACL规则。[H3C]aclnumber3000[H3C-acl-adv-3000]rule0permitipsource10.10.10.20[H3C-acl-adv-3000]rule1permitipsource10.10.10.30[H3C-acl-adv-3000]rule2denyipsource10.10.10.00.0.0.255destination10.11.11.110time-rangeworktime[H3C-acl-adv-3000]quit#在相应的交换机端口上激活访问控制列表。[H3C]interfacegigabitethernet2/1/1[H3C-GigabitEthernet2/1/1]packet-filterinboundip-group3000[H3C-GigabitEthernet2/1/1]quit[H3C]interfacegigabitethernet2/1/2[H3C-GigabitEthernet2/1/2]packet-filterinboundip-group3000[H3C-GigabitEthernet2/1/2]quit[H3C]interfacegigabitethernet2/1/3[H3C-GigabitEthernet2/1/3]packet-filterinboundip-group3000[H3C-GigabitEthernet2/1/3]quit[H3C]interfacegigabitethernet2/1/4[H3C-GigabitEthernet2/1/4]packet-filterinboundip-group30001.4.3二层ACL过滤指定MAC报文配置举例1.组网需求通过二层ACL，实现在每天8:00～18:00时间段内对源MAC为010A-E201-0101、目的MAC为0260-E207-0202的报文的过滤。（在交换机的Ethernet2/1/1进行本项配置）2.组网图图1-3二层ACL过滤指定MAC报文配置组网图3.配置步骤&说明：以下的配置，只列出了与ACL配置相关的命令。(1)定义时间段H3Csystem-view[H3C]time-rangetest8:00to18:00daily(2)创建用户自定义流模板[H3C]flow-templateuser-definedslot2smac0-0-0dmac0-0-0(3)定义源MAC为010A-E201-0101、目的MAC为0260-E207-0202的ACL[H3C]aclnametraffic-of-linklink[H3C-acl-link-traffic-of-link]rule1denyingress010a-e201-01010-0-0egress0260-e207-02020-0-0time-rangetest[H3C-acl-link-traffic-of-link]quit(4)在端口下应用用户自定义流模板，并激活ACL#在端口Ethernet2/1/1下应用用户自定义流模板。[H3C]interfaceethernet2/1/1[H3C-Ethernet2/1/1]flow-templateuser-defined#将traffic-of-link的ACL在端口下激活。[H3C-Ethernet2/1/1]packet-filterinboundlink-grouptraffic-of-link1.4.4二层ACL过滤ARP报文配置举例1.组网需求交换机作为网关设备，下挂某用户PC，该用户PC因感染病毒而发出大量的ARP报文攻击网关设备，冲击交换机的CPU。本配置任务要求：通过配置来丢弃此用户发出的ARP报文，假设此用户的源MAC地址为010A-E201-0101。2.组网图图1-4二层ACL过滤ARP报文配置组网图3.配置步骤(1)定义二层ACL子规则H3Csystem-view[H3C]aclnumber4000[H3C-acl-link-4000]rule0denyarpingress010a-e201-01010-0-0[H3C-acl-link-4000]quit(2)进入端口Ethernet2/1/1，在端口下配置过滤规则[H3C]interfaceethernet2/1/1[H3C-Ethernet2/1/1]packet-filterinboundlink-group4000rule01.4.5BT禁流配置举例1.组网需求BitTorrent（比特洪流，简称BT）是一种用来进行文件下载的共享软件，其特点是：下载的人越多，速度越快。BT下载大大降低了下载服务器的负荷，但也造成网络下载的数据量剧增，使得网络带宽被大量的BT下载流量占据，严重影响其它网络业务，由此产生了对BT流量进行有效控制的需求。本配置任务要求通过配置合适的ACL及其子规则，达到禁止BT数据流通过端口GigabitEthernet7/1/8的目的。注意：lLSB1XP4系列单板不支持BT禁流配置。l后缀为DA/DB/DC的单板不支持BT禁流配置。2.组网图图1-5BT禁止配置组网图3.配置步骤(1)定义用户自定义流模板H3Csystem-view[H3C]flow-templateuser-definedslot7ip-protocolbt-flagsip0.0.0.0dport(2)定义高级ACL子规则[H3C]aclnumber3000[H3C-acl-adv-3000]rule0denytcpbt-flag[H3C-acl-adv-3000]quit(3)进入端口GE7/1/8，在端口下配置BT禁流[H3C]interfacegigabitethernet7/1/8[H3C-GigabitEthernet7/1/8]flow-templateuser-defined[H3C-GigabitEthernet7/1/8]packet-filterinboundip-group3000rule0