No se encuentran recursos de mapeo en el idioma seleccionado.

Ejemplos típicos de configuración de la serie Sx300

Rate and give feedback:
Acerca de la traducción
Huawei ha traducido este documento a diferentes idiomas combinando la traducción automática con la revisión humana a fin de permitirle entender mejor su contenido. Nota: Sin importar lo avanzada que sea, la traducción automática no puede igualar la calidad que proporcionan los traductores profesionales. Huawei no asume ninguna responsabilidad por la precisión de las traducciones y recomienda consultar el documento escrito en inglés (al cual puede acceder mediante el enlace proporcionado).
Ejemplo de uso de ACL para controlar el acceso al servidor especificado en el rango de tiempo especificado

Ejemplo de uso de ACL para controlar el acceso al servidor especificado en el rango de tiempo especificado

Descripción general de ACL

Una Lista de control de acceso (ACL) consiste en una regla o un conjunto de reglas que describen las condiciones de coincidencia de paquetes. Estas condiciones incluyen direcciones de origen, direcciones de destino y números de puerto de paquetes.

Una ACL filtra paquetes basados ​​en reglas. Un dispositivo con una ACL configura coincidir con paquetes basados ​​en las reglas para obtener los paquetes de un cierto tipo, y luego decide reenviar o descartar estos paquetes de acuerdo con las políticas utilizadas por el módulo de servicio al que se aplica la ACL.

Según los métodos de definición de reglas, las ACL incluyen ACL básica, ACL avanzada y ACL de Capa 2. Una ACL avanzada define reglas para filtrar paquetes IPv4 basados ​​en direcciones IP de origen, direcciones de destino, tipos de protocolo IP, números de puerto de origen/destino de TCP, números de puerto de origen/destino de UDP, información de fragmento y rangos de tiempo. En comparación con una ACL básica, una ACL avanzada es más precisa, flexible y ofrece más funciones. Por ejemplo, si desea filtrar paquetes en función de las direcciones IP de origen y destino, configure una ACL avanzada.

En este ejemplo, las ACL avanzadas se aplican al módulo de política de tráfico para que el dispositivo pueda filtrar los paquetes enviados por los usuarios al servidor especificado y así restringir el acceso al servidor especificado durante un rango de tiempo.

Notas de configuración

Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.

NOTA:

Los siguientes comandos e información de salida se obtienen de S9306 ejecutando V200R007C00.

Requisitos de red

Como se muestra en Figura 12-2, los departamentos de una empresa están conectados a través del Switch. Los departamentos de I+D y marketing no pueden acceder al servidor de consulta salarial en 10.164.9.9 en horas de trabajo (08:00 a 17:30), mientras que la oficina del presidente puede acceder al servidor en cualquier momento.

Figura 12-2  Usar ACL para controlar el acceso al servidor especificado en el rango de tiempo especificado

Hoja de ruta de configuración

Las siguientes configuraciones se realizan en Switch. La hoja de ruta de la configuración es la siguiente:
  1. Configure el rango de tiempo, la ACL avanzada y el clasificador de tráfico basado en ACL para filtrar los paquetes de los usuarios al servidor en el intervalo de tiempo especificado. De esta forma, puede restringir el acceso de diferentes usuarios al servidor en el rango de tiempo especificado.
  2. Configure un comportamiento de tráfico para descartar los paquetes que coincidan con la ACL.
  3. Configure y aplique una política de tráfico para que la ACL y el comportamiento del tráfico entren en vigencia.

Procedimiento

  1. Agregue interfaces a VLAN y asigne direcciones IP a las interfaces VLANIF.

    # Agregue GE 1/0/1 a través de GE1/0/3 a VLAN 10, 20 y 30 respectivamente, agregue GE2/0/1 a VLAN 100, y asigne direcciones IP a las interfaces VLANIF. Las configuraciones en GE 1/0/1 y VLANIF 10 se usan como ejemplo aquí. Las configuraciones en GE1/0/2, GE1/0/3, y GE2/0/1 son similares a las configuraciones en GE 1/0/1, y las configuraciones en VLANIF 20, VLANIF 30 y VLANIF 100 son similares a las configuraciones en VLANIF 10.

    <Quidway> system-view
    [Quidway] sysname Switch
    [Switch] vlan batch 10 20 30 100
    [Switch] interface gigabitethernet 1/0/1
    [Switch-GigabitEthernet1/0/1] port link-type trunk
    [Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 10
    [Switch-GigabitEthernet1/0/1] quit
    [Switch] interface vlanif 10
    [Switch-Vlanif10] ip address 10.164.1.1 255.255.255.0
    [Switch-Vlanif10] quit
    

  2. Configure el rango de tiempo.

    # Configure el rango de tiempo de 8:00 a 17:30.

    [Switch] time-range satime 8:00 to 17:30 working-day  //Configure un rango de tiempo periódico para una ACL.
    

  3. Configure ACL.

    # Configure una ACL para el departamento de marketing accediendo al servidor de consultas salariales.

    [Switch] acl 3002
    [Switch-acl-adv-3002] rule deny ip source 10.164.2.0 0.0.0.255 destination 10.164.9.9 0.0.0.0 time-range satime  //Evite que el departamento de marketing acceda al servidor de consultas salariales en el rango de tiempo de satime.
    [Switch-acl-adv-3002] quit

    # Configure una ACL para el departamento de I+D que accede al servidor de consultas salariales.

    [Switch] acl 3003
    [Switch-acl-adv-3003] rule deny ip source 10.164.3.0 0.0.0.255 destination 10.164.9.9 0.0.0.0 time-range satime  //Evite que el departamento de I+D acceda al servidor de consultas salariales en el rango de tiempo de satime.
    [Switch-acl-adv-3003] quit

  4. Configure los clasificadores de tráfico basados ​​en ACL.

    # Configure el clasificador de tráfico c_market para clasificar los paquetes que coinciden con ACL 3002.

    [Switch] traffic classifier c_market  //Cree un clasificador de tráfico.
    [Switch-classifier-c_market] if-match acl 3002  //Asocie una ACL con el clasificador de tráfico.
    [Switch-classifier-c_market] quit

    # Configure el clasificador de tráfico c_rd para clasificar los paquetes que coinciden con ACL 3003.

    [Switch] traffic classifier c_rd  //Cree un clasificador de tráfico.
    [Switch-classifier-c_rd] if-match acl 3003  //Asocie una ACL con el clasificador de tráfico.
    [Switch-classifier-c_rd] quit

  5. Configure los comportamientos de tráfico.

    # Configure el comportamiento del tráfico b_market para rechazar paquetes.

    [Switch] traffic behavior b_market  //Cree un comportamiento de tráfico.
    [Switch-behavior-b_market] deny  //Establezca la acción del comportamiento del tráfico para denegar.
    [Switch-behavior-b_market] quit

    # Configure el comportamiento del tráfico b_rd para rechazar paquetes.

    [Switch] traffic behavior b_rd  //Cree un comportamiento de tráfico.
    [Switch-behavior-b_rd] deny  //Establezca la acción del comportamiento del tráfico para denegar.
    [Switch-behavior-b_rd] quit

  6. Configure políticas de tráfico.

    # Configure la política de tráfico p_market y asocie el clasificador de tráfico c_market y el comportamiento del tráfico b_market con la política de tráfico.

    [Switch] traffic policy p_market  //Cree una política de tráfico.
    [Switch-trafficpolicy-p_market] classifier c_market behavior b_market  //Asocie el clasificador de tráfico c_market con el comportamiento del tráfico b_market.
    [Switch-trafficpolicy-p_market] quit

    # Configure la política de tráfico p_rd y asocie el clasificador de tráfico c_rd y el comportamiento de tráfico b_rd con la política de tráfico.

    [Switch] traffic policy p_rd  //Cree una política de tráfico.
    [Switch-trafficpolicy-p_rd] classifier c_rd behavior b_rd  //Asocie el clasificador de tráfico c_rd con el comportamiento de tráfico b_rd.
    [Switch-trafficpolicy-p_rd] quit

  7. Aplique la política de tráfico.

    # Los paquetes del departamento de marketing al servidor son recibidos por GE1/0/2; por lo tanto, aplique la política de tráfico p_market a la dirección de salida de GE1/0/2.

    [Switch] interface gigabitethernet 1/0/2
    [Switch-GigabitEthernet1/0/2] traffic-policy p_market inbound  //Aplique la política de tráfico a la dirección de entrada de una interfaz.
    [Switch-GigabitEthernet1/0/2] quit

    # Los paquetes del departamento de I+D al servidor son recibidos por GE1/0/3; por lo tanto, aplique la política de tráfico p_rd a la dirección de entrante de GE1/0/3.

    [Switch] interface gigabitethernet 1/0/3
    [Switch-GigabitEthernet1/0/3] traffic-policy p_rd inbound  //Aplique la política de tráfico a la dirección de entrada de una interfaz.
    [Switch-GigabitEthernet1/0/3] quit

  8. Verifique la configuración

    # Compruebe la configuración de las reglas de ACL.

    [Switch] display acl all
     Total nonempty ACL number is 2
    
    Advanced ACL 3002, 1 rule
    Acl's step is 5
     rule 5 deny ip source 10.164.2.0 0.0.0.255 destination 10.164.9.9 0 time-range satime (match-counter 0)(Active)
    
    Advanced ACL 3003, 1 rule
    Acl's step is 5
     rule 5 deny ip source 10.164.3.0 0.0.0.255 destination 10.164.9.9 0 time-range satime (match-counter 0)(Active) 

    # Compruebe la configuración del clasificador de tráfico.

    [Switch] display traffic classifier user-defined
      User Defined Classifier Information:
       Classifier: c_market
        Precedence: 5
        Operator: OR
        Rule(s) : if-match acl 3002
    
       Classifier: c_rd
        Precedence: 10
        Operator: OR
        Rule(s) : if-match acl 3003
    
    Total classifier number is 2

    # Compruebe la configuración de la política de tráfico.

    [Switch] display traffic policy user-defined
      User Defined Traffic Policy Information:                                      
      Policy: p_market                                                              
       Classifier: c_market                                                         
        Operator: OR                                                                
         Behavior: b_market                                                         
          Deny                                                                      
                                                                                    
      Policy: p_rd                                                                  
       Classifier: c_rd                                                             
        Operator: OR                                                                
         Behavior: b_rd                                                             
          Deny                                                                      
    
    Total policy number is 2

    # Compruebe los registros de la aplicación de la política de tráfico.

    [Switch] display traffic-policy applied-record
    #                                                                                                                                   
    -------------------------------------------------                                                                                   
      Policy Name:   p_market                                                                                                           
      Policy Index:  0                                                                                                                  
         Classifier:c_market     Behavior:b_market                                                                                      
    -------------------------------------------------                                                                                   
     *interface GigabitEthernet1/0/2                          
        traffic-policy p_market inbound                                                                                                 
          slot 1    :  success                                                                                                          
    -------------------------------------------------                                                                                   
      Policy total applied times: 1.                                                                                                    
    #                                                                                                                                   
    -------------------------------------------------                                                                                   
      Policy Name:   p_rd                                                                                                               
      Policy Index:  1                                                                                                                  
         Classifier:c_rd     Behavior:b_rd                                                                                              
    -------------------------------------------------                                                                                   
     *interface GigabitEthernet1/0/3                                                                                                    
        traffic-policy p_rd inbound                                                                                                     
          slot 1    :  success                                                                                                          
    -------------------------------------------------                                                                                   
      Policy total applied times: 1.                                                                                                    
    # 

    # Los departamentos de I+D y marketing no pueden acceder al servidor de consultas salariales en horas de trabajo (08:00 a 17:30).

Archivos de configuración

Archivo de configuración de Switch

#
sysname Switch
#
vlan batch 10 20 30 100 
#
time-range satime 08:00 to 17:30 working-day
#
acl number 3002
 rule 5 deny ip source 10.164.2.0 0.0.0.255 destination 10.164.9.9 0 time-range satime
acl number 3003
 rule 5 deny ip source 10.164.3.0 0.0.0.255 destination 10.164.9.9 0 time-range satime
#
traffic classifier c_market operator or precedence 5
 if-match acl 3002
traffic classifier c_rd operator or precedence 10
 if-match acl 3003
#
traffic behavior b_market
 deny
traffic behavior b_rd
 deny
#
traffic policy p_market match-order config
 classifier c_market behavior b_market
traffic policy p_rd match-order config
 classifier c_rd behavior b_rd
#
interface Vlanif10
 ip address 10.164.1.1 255.255.255.0
#
interface Vlanif20
 ip address 10.164.2.1 255.255.255.0
#
interface Vlanif30
 ip address 10.164.3.1 255.255.255.0
#
interface Vlanif100
 ip address 10.164.9.1 255.255.255.0  
#
interface GigabitEthernet1/0/1
 port link-type trunk                                                           
 port trunk allow-pass vlan 10 
#
interface GigabitEthernet1/0/2
 port link-type trunk                                                           
 port trunk allow-pass vlan 20 
 traffic-policy p_market inbound
#
interface GigabitEthernet1/0/3
 port link-type trunk                                                           
 port trunk allow-pass vlan 30 
 traffic-policy p_rd inbound  
#
interface GigabitEthernet2/0/1

 port link-type trunk                                                           
 port trunk allow-pass vlan 100 
#
return 
Descargar
Updated: 2018-08-15

N.° del documento: EDOC1100027119

Vistas:15827

Descargas: 131

Average rating:
This Document Applies to these Products
Documentos relacionados
Related Version
Share
Anterior Siguiente