您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 项目/工程管理 > 华为三层交换机VLAN之间通过流策略做访问控制实例
华为三层交换机VLAN之间通过流策略做访问控制实例By:binbin96123主要思路Step1:定义ACLStep2:定义流分类Step2:定义流行为Step4:创建流策略,绑定流分类和流行为Step5:在VLAN接口入方向上应用流策略实例客户有四个VLAN,分别为VLAN10、VLAN20、VLAN30和VLAN40现要实现以下目的,1:VLAN10、20、30之间不能互通,2:vlan10、VLAN20均可以访问VLAN403VLAN30中IP为10.1.30.5的机器可以访问VLAN40中的所有资源,VLAN30中其他机器只可以访问VLAN40中IP为10.1.40.100的80端口以下是交换机现有的VLAN其础配置interfaceVlanif10ipaddress10.1.1.254255.255.255.0interfaceVlanif20ipaddress10.1.1.254255.255.255.0interfaceVlanif30ipaddress10.1.1.254255.255.255.0interfaceVlanif40ipaddress10.1.1.254255.255.255.0实现步骤:1定义ACL3010、3020和3030aclnumber3010rule50permitipdestination10.1.40.00.0.0.255rule100denyipanyaclnumber3020rule50permitipdestination10.1.40.00.0.0.255rule100denyipanyaclnumber3030rule50permitipsoure10.1.30.50.0.0.0destination10.1.40.00.0.0.255rule60permittcpsoure10.1.30.00.0.0.255destination10.1.40.1000.0.0.0eq80rule100denyipany2定义流分类,分别调用上面的ACL,class10调用acl3010、class20调用acl3020、class30调用acl3030、S-switch-Bsystem-view[S-switch-B]trafficclassifierclass10[S-switch-B-classifier-class10]if-matchacl3010[S-switch-B-classifier-class10]quit[S-switch-B]trafficclassifierclass20[S-switch-B-classifier-class20]if-matchacl3020[S-switch-B-classifier-class20quit[S-switch-B]trafficclassifierclass30[S-switch-B-classifier-class30if-matchacl3030[S-switch-B-classifier-class30]quit3定义流行为[S-switch-B]trafficbehaviorbehavior10[S-switch-B-behavior-behavior10]permitS-switch-B-behavior-behavior10]quit[S-switch-B]trafficbehaviorbehavior20[S-switch-B-behavior-behavior20]permitS-switch-B-behavior-behavior20]quit[S-switch-B]trafficbehaviorbehavior30[S-switch-B-behavior-behavior30]permitS-switch-B-behavior-behavior30]quit3定义流策略[S-switch-B]trafficpolicypolicy10[S-switch-B-trafficpolicy-policy10]classifierclass10behaviorbehavior10[S-switch-B-trafficpolicy-policy10]quit用同样方法定义policy20各policy304将策略应用到VLAN接口Valn10traffic-policypolicy10inboundquitValn20traffic-policypolicy20inboundquitValn30traffic-policypolicy30inboundquit相关命令acl命令功能acl命令用来创建一个ACL并进入ACL视图。undoacl命令用来删除ACL。命令格式acl[number]acl-numberundoacl{all|[number]acl-number}参数说明参数参数说明取值number利用数字标识一个ACL。-acl-number指定ACL的编号。整数形式,取值范围是2000~5999。其中:2000~2999是基本ACL3000~3999是高级ACL4000~4999是二层ACL5000~5999是用户自定义ACLall表示删除所有的ACL。-视图系统视图缺省级别2:配置级使用指南一个ACL是由deny|permit语句组成的一系列的规则列表。在配置ACL的规则之前,首先需要创建一个ACL。使用实例#创建一个序号为2000的基本ACL。Quidwaysystem-view[Quidway]aclnumber2000[Quidway-acl-basic-2000]#创建一个序号为4001的二层ACL。Quidwaysystem-view[Quidway]aclnumber4001[Quidway-acl-l2-4001]trafficclassifier命令功能trafficclassifier命令用来创建一个流分类并进入对应的流分类视图。undotrafficclassifier命令用来删除指定的流分类。命令格式trafficclassifierclass-nameundotrafficclassifierclass-name参数说明参数参数说明取值class-name表示用户自定义的流分类名称。如果先后设定的两个流分类名称相同,则新配置将取代旧配置。字符串形式,不支持空格,长度范围是1~31。视图系统视图缺省级别2:配置级使用指南说明:在流分类下,各匹配规则之间是“逻辑与”的关系。S-switch设备支持255个流分类。要删除或修改某个流分类,必须先取消包含该流分类的流策略在所有接口上的绑定。使用实例#创建流分类c1并进入流分类视图。Quidwaysystem-view[Quidway]trafficclassifierc1[Quidway-classifier-c1]trafficbehavior命令功能trafficbehavior命令用来创建一个流行为并进入对应的流行为视图。undotrafficbehavior命令用来删除指定的流行为。命令格式trafficbehaviorbehavior-nameundotrafficbehaviorbehavior-name参数说明参数参数说明取值behavior-name表示用户自定义的流行为名称。如果先后设定的两个流行为名称相同,则新配置将取代旧配置。字符串形式,不支持空格,长度范围是1~31。视图系统视图缺省级别2:配置级使用指南S-switch设备支持255个流行为。要删除或修改某个流行为,必须先取消包含该流行为的流策略在所有接口上的应用。一个流行为中可以包含多个流动作。使用实例#创建流行为b1并进入流行为视图。Quidwaysystem-view[Quidway]trafficbehaviorb1[Quidway-behavior-b1]traffic-policy命令功能traffic-policy命令用来在接口或VLAN上应用策略。undotraffic-policy命令用来删除关联的策略。命令格式traffic-policypolicy-name{inbound|outbound}undotraffic-policy{inbound|outbound}参数说明参数参数说明取值policy-name表示用户自定义的流策略的名称。字符串形式,不支持空格,长度范围是1~31。inbound表示接口的入方向。-outbound表示接口的出方向。-视图GE接口视图、10GE接口视图、Eth-trunk接口视图、VLAN视图缺省级别2:配置级使用指南流策略必须在接口或VLAN上应用才能生效,在应用前需要先创建流策略。如果流策略中没有规则或规则为空,S-switch设备会提示错误信息,流策略不在接口或VLAN上生效。对于加入Trunk的接口,不能在成员接口上配置流策略,只能在Trunk口上配置。如果在VLAN上配置流策略,且基于VLANID进行流分类,则应用流策略的VLANID会覆盖流分类中的VLANID。使用实例#在接口GigabitEthernet0/0/1的入方向上应用已经创建好的流策略p1。Quidwaysystem-view[Quidway]interfacegigabitethernet0/0/1[Quidway-GigabitEthernet0/0/1]traffic-policyp1inbound
本文标题:华为三层交换机VLAN之间通过流策略做访问控制实例
链接地址:https://www.777doc.com/doc-4137485 .html