No se encuentran recursos de mapeo en el idioma seleccionado.

This site uses cookies. By continuing to browse the site you are agreeing to our use of cookies. Read our privacy policy>

Ejemplos típicos de configuración de la serie Sx300

Rate and give feedback:
Acerca de la traducción
Huawei ha traducido este documento a diferentes idiomas combinando la traducción automática con la revisión humana a fin de permitirle entender mejor su contenido. Nota: Sin importar lo avanzada que sea, la traducción automática no puede igualar la calidad que proporcionan los traductores profesionales. Huawei no asume ninguna responsabilidad por la precisión de las traducciones y recomienda consultar el documento escrito en inglés (al cual puede acceder mediante el enlace proporcionado).
Ejemplo de uso de una ACL para evitar que los hosts internos accedan a Internet

Ejemplo de uso de una ACL para evitar que los hosts internos accedan a Internet

Descripción general de la ACL

Una Lista de control de acceso (ACL) consiste en una regla o un conjunto de reglas que describen las condiciones de coincidencia de paquetes. Estas condiciones incluyen direcciones de origen, direcciones de destino y números de puerto de paquetes.

Una ACL filtra paquetes basados ​​en reglas. Un dispositivo con una ACL configura coincidir con paquetes basados ​​en las reglas para obtener los paquetes de un cierto tipo, y luego decide reenviar o descartar estos paquetes de acuerdo con las políticas utilizadas por el módulo de servicio al que se aplica la ACL.

Según los métodos de definición de reglas, las ACL incluyen ACL básica, ACL avanzada y ACL de Capa 2. Una ACL básica define reglas para filtrar paquetes IPv4 en función de información como direcciones IP de origen, información de fragmento y rangos de tiempo. Si solo necesita filtrar paquetes en función de las direcciones IP de origen, puede configurar una ACL básica.

En este ejemplo, se aplica una ACL básica al módulo de política de tráfico para que el dispositivo pueda filtrar los paquetes de los hosts internos a Internet y así evitar que los hosts internos accedan a Internet.

Notas de configuración

Este ejemplo se aplica a todas las versiones y modelos.

NOTA:

Los siguientes comandos e información de salida se obtienen de S9306 ejecutando V200R007C00.

Requisitos de red

Como se muestra en Figura 12-7, los departamentos de una empresa están conectados a través de Switch. El Switchdebe evitar que algunos hosts de los departamentos de I+D y marketing accedan a Internet para proteger la seguridad de la información de la empresa.

Figura 12-7  Usar una ACL para evitar que los hosts internos accedan a Internet

Hoja de ruta de configuración

Las siguientes configuraciones se realizan en Switch. La hoja de ruta de la configuración es la siguiente:

  1. Configure un clasificador de tráfico basado en ACL y ACL básico para filtrar paquetes de los hosts especificados de los departamentos de I+D y marketing.
  2. Configure un comportamiento de tráfico para descartar los paquetes que coinciden con la ACL.
  3. Configure y aplique una política de tráfico para que la ACL y el comportamiento del tráfico entren en vigencia.

Procedimiento

  1. Configure las VLAN y las direcciones IP para las interfaces.

    # Cree VLAN 10 y VLAN 20.

    <Quidway> system-view
    [Quidway] sysname Switch
    [Switch] vlan batch 10 20
    

    Configure GE1/0/1 y GE1/0/2 de Switch como interfaces trunk y agréguelos a la VLAN 10 y VLAN 20 respectivamente. Configure GE2/0/1 deSwitch como una interfaz trunk y agréguela a la VLAN 10 y a la VLAN 20.

    [Switch] interface gigabitethernet 1/0/1
    [Switch-GigabitEthernet1/0/1] port link-type trunk
    [Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 10
    [Switch-GigabitEthernet1/0/1] quit
    [Switch] interface gigabitethernet 1/0/2
    [Switch-GigabitEthernet1/0/2] port link-type trunk
    [Switch-GigabitEthernet1/0/2] port trunk allow-pass vlan 20
    [Switch-GigabitEthernet1/0/2] quit
    [Switch] interface gigabitethernet 2/0/1
    [Switch-GigabitEthernet2/0/1] port link-type trunk
    [Switch-GigabitEthernet2/0/1] port trunk allow-pass vlan 10 20
    [Switch-GigabitEthernet2/0/1] quit

    # Cree VLANIF 10 y VLANIF 20 y les asigne direcciones IP.

    [Switch] interface vlanif 10
    [Switch-Vlanif10] ip address 10.1.1.1 24
    [Switch-Vlanif10] quit
    [Switch] interface vlanif 20
    [Switch-Vlanif20] ip address 10.1.2.1 24
    [Switch-Vlanif20] quit
    

  2. Configure una ACL.

    # Cree ACL básica 2001 y configure reglas para rechazar los paquetes de los hosts 10.1.1.11 y 10.1.2.12.

    [Switch] acl 2001
    [Switch-acl-basic-2001] rule deny source 10.1.1.11 0  //Evite que el host con la dirección IP 10.1.1.11 acceda a Internet.
    [Switch-acl-basic-2001] rule deny source 10.1.2.12 0  //Evite que el host con la dirección IP 10.1.2.12 acceda a Internet.
    [Switch-acl-basic-2001] quit

  3. Configure el clasificador de tráfico basado en ACL básico.

    # Configure el clasificador de tráfico tc1 para clasificar los paquetes que coincidan con ACL 2001.

    [Switch] traffic classifier tc1  //Cree un clasificador de tráfico.
    [Switch-classifier-tc1] if-match acl 2001  //Asocie ACL con el clasificador de tráfico.
    [Switch-classifier-tc1] quit

  4. Configure el comportamiento del tráfico.

    # Configure el comportamiento de tráfico tb1 para rechazar los paquetes.

    [Switch] traffic behavior tb1  //Cree un comportamiento de tráfico.
    [Switch-behavior-tb1] deny  //Establezca la acción del comportamiento del tráfico para denegar.
    [Switch-behavior-tb1] quit

  5. Configure la política de tráfico.

    # Defina la política de tráfico y asocie el clasificador de tráfico y el comportamiento del tráfico con la política de tráfico.

    [Switch] traffic policy tp1  //Cree una política de tráfico.
    [Switch-trafficpolicy-tp1] classifier tc1 behavior tb1  //Asocie el clasificador de tráfico tc1 con el comportamiento de tráfico tb1.
    [Switch-trafficpolicy-tp1] quit

  6. Aplique la política de tráfico a una interfaz.

    # Los paquetes de los hosts internos se envían a Internet a través de GE2/0/1; por lo tanto, aplique la política de tráfico a la dirección de salida de GE2/0/1.

    [Switch] interface gigabitethernet 2/0/1
    [Switch-GigabitEthernet2/0/1] traffic-policy tp1 outbound  //Aplique la política de tráfico a la dirección de salida de una interfaz.
    [Switch-GigabitEthernet2/0/1] quit
    

  7. Verifique la configuración

    # Compruebe la configuración de las reglas de ACL.

    [Switch] display acl 2001
    Basic ACL 2001, 2 rules                                                         
    Acl's step is 5                                                                 
     rule 5 deny source 10.1.1.11 0 (match-counter 0)                               
     rule 10 deny source 10.1.2.12 0 (match-counter 0)  

    # Compruebe la configuración del clasificador de tráfico.

    [Switch] display traffic classifier user-defined
      User Defined Classifier Information:
       Classifier: tc1
        Precedence: 5
        Operator: OR
        Rule(s) : if-match acl 2001                                                 
    
    Total classifier number is 1   

    # Compruebe la configuración de la política de tráfico.

    [Switch] display traffic policy user-defined tp1
      User Defined Traffic Policy Information:                                      
      Policy: tp1                                                                   
       Classifier: tc1                                                              
        Operator: OR                                                                
         Behavior: tb1                                                              
          Deny  

    # Los hosts en 10.1.1.11 y 10.1.2.12 no pueden acceder a Internet, y otros hosts pueden acceder a Internet.

Archivos de configuración

Archivo de configuración de Switch

#
sysname Switch
#
vlan batch 10 20 
#
acl number 2001                                                                 
 rule 5 deny source 10.1.1.11 0                                                 
 rule 10 deny source 10.1.2.12 0  
#
traffic classifier tc1 operator or precedence 5  
 if-match acl 2001                                                              
#
traffic behavior tb1
 deny
#
traffic policy tp1 match-order config
 classifier tc1 behavior tb1
#
interface Vlanif10
 ip address 10.1.1.1 255.255.255.0
#
interface Vlanif20
 ip address 10.1.2.1 255.255.255.0
#
interface GigabitEthernet1/0/1
 port link-type trunk                                                           
 port trunk allow-pass vlan 10 
#
interface GigabitEthernet1/0/2
 port link-type trunk                                                           
 port trunk allow-pass vlan 20 
#
interface GigabitEthernet2/0/1
 port link-type trunk                                                           
 port trunk allow-pass vlan 10 20 
 traffic-policy tp1 outbound
#
return 
Descargar
Updated: 2018-08-15

N.° del documento: EDOC1100027119

Vistas:15406

Descargas: 129

Average rating:
This Document Applies to these Products
Documentos relacionados
Related Version
Share
Anterior Siguiente