No se encuentran recursos de mapeo en el idioma seleccionado.

Ejemplos típicos de configuración de la serie Sx300

Rate and give feedback:
Acerca de la traducción
Huawei ha traducido este documento a diferentes idiomas combinando la traducción automática con la revisión humana a fin de permitirle entender mejor su contenido. Nota: Sin importar lo avanzada que sea, la traducción automática no puede igualar la calidad que proporcionan los traductores profesionales. Huawei no asume ninguna responsabilidad por la precisión de las traducciones y recomienda consultar el documento escrito en inglés (al cual puede acceder mediante el enlace proporcionado).
Ejemplo de uso de ACL para restringir el acceso mutuo entre segmentos de red

Ejemplo de uso de ACL para restringir el acceso mutuo entre segmentos de red

Descripción general de la ACL

Una Lista de control de acceso (ACL) consiste en una regla o un conjunto de reglas que describen las condiciones de coincidencia de paquetes. Estas condiciones incluyen direcciones de origen, direcciones de destino y números de puerto de paquetes.

Una ACL filtra paquetes basados ​​en reglas. Un dispositivo con una ACL configura coincidir con paquetes basados ​​en las reglas para obtener los paquetes de un cierto tipo, y luego decide reenviar o descartar estos paquetes de acuerdo con las políticas utilizadas por el módulo de servicio al que se aplica la ACL.

Según los métodos de definición de reglas, las ACL incluyen ACL básica, ACL avanzada y ACL de Capa 2. Una ACL avanzada define reglas para filtrar paquetes IPv4 basados ​​en direcciones IP de origen, direcciones de destino, tipos de protocolo IP, números de puerto de origen/destino de TCP, números de puerto de origen/destino de UDP, información de fragmento y rangos de tiempo. En comparación con una ACL básica, una ACL avanzada es más precisa, flexible y ofrece más funciones. Por ejemplo, si desea filtrar paquetes en función de las direcciones IP de origen y destino, configure una ACL avanzada.

En este ejemplo, las ACL avanzadas se aplican al módulo de política de tráfico para que el dispositivo pueda filtrar los paquetes entre diferentes segmentos de red y, por lo tanto, restringir el acceso mutuo entre los segmentos de red.

Notas de configuración

Este ejemplo se aplica a todas las versiones y modelos.

NOTA:

Los siguientes comandos e información de salida se obtienen de S9306 ejecutando V200R007C00.

Requisitos de red

Como se muestra en Figura 12-6, los departamentos de una empresa están conectados a través de Switch. Para facilitar la gestión de la red, el administrador asigna las direcciones IP en dos segmentos de red a los departamentos de I+D y marketing, respectivamente. Los dos departamentos pertenecen a diferentes VLAN. El acceso mutuo entre dos segmentos de red debe controlarse para garantizar la seguridad de la información.

Figura 12-6  Uso de ACL avanzadas para restringir el acceso mutuo entre segmentos de red

Hoja de ruta de configuración

Las siguientes configuraciones se realizan en Switch. La hoja de ruta de la configuración es la siguiente:

  1. Configure una ACL avanzada y un clasificador de tráfico basado en ACL para filtrar los paquetes intercambiados entre los departamentos de I+D y de marketing.
  2. Configure un comportamiento de tráfico para descartar los paquetes que coincidan con la ACL.
  3. Configure y aplique una política de tráfico para que la ACL y el comportamiento del tráfico entren en vigencia.

Procedimiento

  1. Configure las VLAN y las direcciones IP para las interfaces.

    # Cree VLAN 10 y VLAN 20.

    <Quidway> system-view
    [Quidway] sysname Switch
    [Switch] vlan batch 10 20
    

    Configure GE 1/0/1 y GE1/0/2 de Switch como interfaces troncales y agréguelos a la VLAN 10 y VLAN 20 respectivamente.

    [Switch] interface gigabitethernet 1/0/1
    [Switch-GigabitEthernet1/0/1] port link-type trunk
    [Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 10
    [Switch-GigabitEthernet1/0/1] quit
    [Switch] interface gigabitethernet 1/0/2
    [Switch-GigabitEthernet1/0/2] port link-type trunk
    [Switch-GigabitEthernet1/0/2] port trunk allow-pass vlan 20
    [Switch-GigabitEthernet1/0/2] quit

    # Cree VLANIF 10 y VLANIF 20 y les asigne direcciones IP.

    [Switch] interface vlanif 10
    [Switch-Vlanif10] ip address 10.1.1.1 24
    [Switch-Vlanif10] quit
    [Switch] interface vlanif 20
    [Switch-Vlanif20] ip address 10.1.2.1 24
    [Switch-Vlanif20] quit
    

  2. Configure ACL.

    # Cree ACL avanzada 3001 y configure reglas para que la ACL bloquee los paquetes del departamento de I+D al departamento de marketing.

    [Switch] acl 3001
    [Switch-acl-adv-3001] rule deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255  //Impida que el departamento de I+D acceda al departamento de marketing.
    [Switch-acl-adv-3001] quit

    # Cree ACL avanzada 3002 y configure reglas para que la ACL bloquee los paquetes del departamento de marketing al departamento de I+D.

    [Switch] acl 3002
    [Switch-acl-adv-3002] rule deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255  //Impida que el departamento de marketing acceda al departamento de I+D.
    [Switch-acl-adv-3002] quit

  3. Configure el clasificador de tráfico basado en ACL avanzado.

    # Configure el clasificador de tráfico tc1 para clasificar los paquetes que coincidan con ACL 3001 y ACL 3002.

    [Switch] traffic classifier tc1  //Cree un clasificador de tráfico.
    [Switch-classifier-tc1] if-match acl 3001  //Asocie ACL con el clasificador de tráfico.
    [Switch-classifier-tc1] if-match acl 3002  //Asocie ACL con el clasificador de tráfico.
    [Switch-classifier-tc1] quit

  4. Configure el comportamiento del tráfico.

    # Configure el comportamiento de tráfico tb1 para rechazar los paquetes.

    [Switch] traffic behavior tb1  //Cree un comportamiento de tráfico.
    [Switch-behavior-tb1] deny  //Establezca la acción del comportamiento del tráfico para denegar.
    [Switch-behavior-tb1] quit

  5. Configure la política de tráfico.

    # Defina la política de tráfico y asocie el clasificador de tráfico y el comportamiento del tráfico con la política de tráfico.

    [Switch] traffic policy tp1  //Cree una política de tráfico.
    [Switch-trafficpolicy-tp1] classifier tc1 behavior tb1  //Asocie el clasificador de tráfico tc1 con el comportamiento de tráfico tb1.
    [Switch-trafficpolicy-tp1] quit

  6. Aplique la política de tráfico a una interfaz.

    # Los paquetes del departamento de I+D y el departamento de marketing son recibidos por GE1/0/1 y GE1/0/2 respectivamente; por lo tanto, aplique la política de tráfico a la dirección entrante de GE1/0/1 y GE1/0/2.

    [Switch] interface gigabitethernet 1/0/1
    [Switch-GigabitEthernet1/0/1] traffic-policy tp1 inbound  //Aplique la política de tráfico a la dirección de entrada de una interfaz.
    [Switch-GigabitEthernet1/0/1] quit
    [Switch] interface gigabitethernet 1/0/2
    [Switch-GigabitEthernet1/0/2] traffic-policy tp1 inbound  //Aplique la política de tráfico a la dirección de entrada de una interfaz.
    [Switch-GigabitEthernet1/0/2] quit

  7. Verifique la configuración

    # Compruebe la configuración de las reglas de ACL.

    [Switch] display acl 3001
    Advanced ACL 3001, 1 rule                                                       
    Acl's step is 5                                                                 
     rule 5 deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 (match-counter 0)   
    
    [Switch] display acl 3002
    Advanced ACL 3002, 1 rule                                                       
    Acl's step is 5                                                                 
     rule 5 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 (match-counter 0)  

    # Compruebe la configuración del clasificador de tráfico.

    [Switch] display traffic classifier user-defined
      User Defined Classifier Information:
       Classifier: tc1
        Precedence: 5
        Operator: OR
        Rule(s) : if-match acl 3001                                                 
                  if-match acl 3002 
    
    Total classifier number is 1   

    # Compruebe la configuración de la política de tráfico.

    [Switch] display traffic policy user-defined tp1
      User Defined Traffic Policy Information:                                      
      Policy: tp1                                                                   
       Classifier: tc1                                                              
        Operator: OR                                                                
         Behavior: tb1                                                              
          Deny  

    # Los segmentos de red donde residen los departamentos de I+D y marketing no pueden accederse entre sí, pero pueden acceder a los segmentos de red de otros departamentos.

Archivos de configuración

Archivo de configuración deSwitch

#
sysname Switch
#
vlan batch 10 20 
#
acl number 3001                                                                 
 rule 5 deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255        
acl number 3002                                                                 
 rule 5 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
#
traffic classifier tc1 operator or precedence 5  
 if-match acl 3001                                                              
 if-match acl 3002   
#
traffic behavior tb1
 deny
#
traffic policy tp1 match-order config
 classifier tc1 behavior tb1
#
interface Vlanif10
 ip address 10.1.1.1 255.255.255.0
#
interface Vlanif20
 ip address 10.1.2.1 255.255.255.0
#
interface GigabitEthernet1/0/1
 port link-type trunk                                                           
 port trunk allow-pass vlan 10 
 traffic-policy tp1 inbound
#
interface GigabitEthernet1/0/2
 port link-type trunk                                                           
 port trunk allow-pass vlan 20 
 traffic-policy tp1 inbound
#
return 
Descargar
Updated: 2018-08-15

N.° del documento: EDOC1100027119

Vistas:15735

Descargas: 131

Average rating:
This Document Applies to these Products
Documentos relacionados
Related Version
Share
Anterior Siguiente