No se encuentran recursos de mapeo en el idioma seleccionado.

This site uses cookies. By continuing to browse the site you are agreeing to our use of cookies. Read our privacy policy>

Ejemplos típicos de configuración de la serie Sx300

Rate and give feedback:
Acerca de la traducción
Huawei ha traducido este documento a diferentes idiomas combinando la traducción automática con la revisión humana a fin de permitirle entender mejor su contenido. Nota: Sin importar lo avanzada que sea, la traducción automática no puede igualar la calidad que proporcionan los traductores profesionales. Huawei no asume ninguna responsabilidad por la precisión de las traducciones y recomienda consultar el documento escrito en inglés (al cual puede acceder mediante el enlace proporcionado).
Ejemplo de uso de una ACL para bloquear el acceso a la red de los usuarios especificados

Ejemplo de uso de una ACL para bloquear el acceso a la red de los usuarios especificados

Descripción general de la ACL

Una Lista de control de acceso (ACL) consiste en una regla o un conjunto de reglas que describen las condiciones de coincidencia de paquetes. Estas condiciones incluyen direcciones de origen, direcciones de destino y números de puerto de paquetes.

Una ACL filtra paquetes basados ​​en reglas. Un dispositivo con una ACL configura coincidir con paquetes basados ​​en las reglas para obtener los paquetes de un cierto tipo, y luego decide reenviar o descartar estos paquetes de acuerdo con las políticas utilizadas por el módulo de servicio al que se aplica la ACL.

Según los métodos de definición de reglas, las ACL incluyen ACL básica, ACL avanzada y ACL de Capa 2. Una ACL de Capa 2 define reglas para filtrar paquetes IPv4 e IPv6 basados ​​en información de trama Ethernet, como direcciones MAC de origen, direcciones MAC de destino, VLAN y tipos de protocolo de Capa 2. Las ACL básicas y las ACL avanzadas filtran los paquetes según la información de Capa 3 y Capa 4, mientras que las ACL de Capa 2 filtran los paquetes según la información de Capa 2. Por ejemplo, si desea filtrar paquetes basados ​​en direcciones MAC y VLAN, configure una ACL de Capa 2.

En este ejemplo, se aplica una ACL de Capa 2 al módulo de política de tráfico para que el dispositivo pueda filtrar los paquetes enviados desde usuarios con ciertas direcciones MAC a Internet y así evitar que estos usuarios accedan a Internet.

Notas de configuración

Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.

NOTA:

Los siguientes comandos e información de salida se obtienen de S9306 que ejecuta V200R007C00.

Requisitos de red

Como se muestra en Figura 12-3, el Switch que funciona como gateway está conectada a PC, y hay rutas accesibles a todas las subredes en Switch. El administrador desea bloquear el acceso a la red de PC1 después de detectar que PC1 (00e0-f201-0101) es un usuario no autorizado.

Figura 12-3  Usar ACL de Capa 2 para bloquear el acceso a la red de los usuarios especificados

Hoja de ruta de configuración

Las siguientes configuraciones se realizan en Switch. La hoja de ruta de la configuración es la siguiente:

  1. Configure un ACL de Capa 2 y un clasificador de tráfico basado en ACL para descartar paquetes de la dirección MAC 00e0-f201-0101 (impidiendo que el usuario con esta dirección MAC acceda a la red).
  2. Configure un comportamiento de tráfico para descartar los paquetes que coinciden con la ACL.
  3. Configure y aplique una política de tráfico para que la ACL y el comportamiento del tráfico entren en vigencia.

Procedimiento

  1. Configure una ACL.

    # Configure una ACL de Capa 2 para cumplir con el requisito anterior.

    <Quidway> system-view
    [Quidway] sysname Switch
    [Switch] acl 4000
    [Switch-acl-L2-4000] rule deny source-mac 00e0-f201-0101 ffff-ffff-ffff  //Rechace los paquetes de la dirección MAC de origen 00e0-f201-0101.
    [Switch-acl-L2-4000] quit

  2. Configure un clasificador de tráfico basado en ACL.

    # Configure el clasificador de tráfico tc1 para clasificar los paquetes que coincidan con ACL 4000.

    [Switch] traffic classifier tc1  //Cree un clasificador de tráfico.
    [Switch-classifier-tc1] if-match acl 4000  //Asocie una ACL con el clasificador de tráfico.
    [Switch-classifier-tc1] quit

  3. Configure el comportamiento del tráfico.

    # Configure el comportamiento de tráfico tb1 para rechazar los paquetes.

    [Switch] traffic behavior tb1  //Cree un comportamiento de tráfico.
    [Switch-behavior-tb1] deny  //Establezca la acción del comportamiento del tráfico para denegar.
    [Switch-behavior-tb1] quit

  4. Configure la política de tráfico.

    # Configure la política de tráfico tp1 y asocie tc1 y tb1 con la política de tráfico.

    [Switch] traffic policy tp1  //Cree una política de tráfico.
    [Switch-trafficpolicy-tp1] classifier tc1 behavior tb1  //Asocie el clasificador de tráfico tc1 con el comportamiento de tráfico tb1.
    [Switch-trafficpolicy-tp1] quit

  5. Aplique la política de tráfico.

    # Los paquetes de PC1 a Internet son recibidos por GE2/0/1; por lo tanto, aplique la política de tráfico tp1 a la dirección de entrante de GE2/0/1.

    [Switch] interface gigabitethernet 2/0/1
    [Switch-GigabitEthernet2/0/1] traffic-policy tp1 inbound  //Aplique la política de tráfico a la dirección de entrada de una interfaz.
    [Switch-GigabitEthernet2/0/1] quit

  6. Verifique la configuración

    # Compruebe la configuración de la regla de ACL.

    [Switch] display acl 4000
    L2 ACL 4000, 1 rule                                                             
    Acl's step is 5                                                                 
     rule 5 deny source-mac 00e0-f201-0101 

    # Compruebe la configuración del clasificador de tráfico.

    [Switch] display traffic classifier user-defined
      User Defined Classifier Information:
       Classifier: tc1
        Precedence: 5
        Operator: OR
        Rule(s) : if-match acl 4000  
                                                                                   
    Total classifier number is 1                                                    
    

    # Compruebe la configuración de la política de tráfico.

    [Switch] display traffic policy user-defined tp1
      User Defined Traffic Policy Information:                                      
      Policy: tp1                                                                   
       Classifier: tc1                                                              
        Operator: OR                                                                
         Behavior: tb1                                                              
          Deny  

    # Compruebe los registros de la aplicación de la política de tráfico.

    [Switch] display traffic-policy applied-record
    #                                                                                                                                   
    -------------------------------------------------                                                                                   
      Policy Name:   tp1                                                                                                                
      Policy Index:  0                                                                                                                  
         Classifier:tc1     Behavior:tb1                                                                                                
    -------------------------------------------------                                                                                   
     *interface GigabitEthernet2/0/1                                                                             
        traffic-policy tp1 inbound                                                                                                      
          slot 2    :  success                                                                                                          
    -------------------------------------------------                                                                                   
      Policy total applied times: 1.                                                                                                    
    # 

    # El usuario con la dirección MAC 00e0-f201-0101 no puede acceder a Internet.

Archivos de configuración

Archivo de configuración de Switch

#
sysname Switch
#
acl number 4000
 rule 5 deny source-mac 00e0-f201-0101
#
traffic classifier tc1 operator or precedence 5
 if-match acl 4000
#
traffic behavior tb1
 deny
#
traffic policy tp1 match-order config
 classifier tc1 behavior tb1
#
interface GigabitEthernet2/0/1
 traffic-policy tp1 inbound  
#
return 
Descargar
Updated: 2018-08-15

N.° del documento: EDOC1100027119

Vistas:15619

Descargas: 131

Average rating:
This Document Applies to these Products
Documentos relacionados
Related Version
Share
Anterior Siguiente