No se encuentran recursos de mapeo en el idioma seleccionado.

This site uses cookies. By continuing to browse the site you are agreeing to our use of cookies. Read our privacy policy>

Ejemplos típicos de configuración de la serie Sx300

Rate and give feedback:
Acerca de la traducción
Huawei ha traducido este documento a diferentes idiomas combinando la traducción automática con la revisión humana a fin de permitirle entender mejor su contenido. Nota: Sin importar lo avanzada que sea, la traducción automática no puede igualar la calidad que proporcionan los traductores profesionales. Huawei no asume ninguna responsabilidad por la precisión de las traducciones y recomienda consultar el documento escrito en inglés (al cual puede acceder mediante el enlace proporcionado).
Ejemplo de uso de una ACL para evitar que los hosts externos accedan a los servidores internos

Ejemplo de uso de una ACL para evitar que los hosts externos accedan a los servidores internos

Descripción general de la ACL

Una Lista de control de acceso (ACL) consiste en una regla o un conjunto de reglas que describen las condiciones de coincidencia de paquetes. Estas condiciones incluyen direcciones de origen, direcciones de destino y números de puerto de paquetes.

Una ACL filtra paquetes basados ​​en reglas. Un dispositivo con una ACL configura coincidir con paquetes basados ​​en las reglas para obtener los paquetes de un cierto tipo, y luego decide reenviar o descartar estos paquetes de acuerdo con las políticas utilizadas por el módulo de servicio al que se aplica la ACL.

Según los métodos de definición de reglas, las ACL incluyen ACL básica, ACL avanzada y ACL de Capa 2. Una ACL avanzada define reglas para filtrar paquetes IPv4 basados ​​en direcciones IP de origen, direcciones de destino, tipos de protocolo IP, números de puerto de origen/destino de TCP, números de puerto de origen/destino de UDP, información de fragmento y rangos de tiempo. En comparación con una ACL básica, una ACL avanzada es más precisa, flexible y ofrece más funciones. Por ejemplo, si desea filtrar paquetes en función de las direcciones IP de origen y destino, configure una ACL avanzada.

En este ejemplo, se aplica una ACL avanzada al módulo de política de tráfico para que el dispositivo pueda filtrar los paquetes enviados desde los hosts externos a los servidores internos y, por lo tanto, restringir el acceso de los hosts externos a los servidores internos.

Notas de configuración

Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.

NOTA:

Los siguientes comandos e información de salida se obtienen de S9306 ejecutando V200R007C00.

Requisitos de red

Como se muestra en Figura 12-8, los departamentos de una empresa están conectados a través de Switch. La empresa solo permite que los hosts internos accedan al servidor de finanzas, evitando que los hosts externos accedan al servidor.

Figura 12-8  Usar una ACL para evitar que los hosts externos accedan a los servidores internos

Hoja de ruta de configuración

Las siguientes configuraciones se realizan en Switch. La hoja de ruta de la configuración es la siguiente:
  1. Configure un clasificador de tráfico basado en ACL y ACL avanzado para filtrar los paquetes de los hosts externos al servidor de finanzas y así evitar que los hosts externos accedan a este servidor.
  2. Configure un comportamiento de tráfico para permitir que los paquetes coincidan con la regla de permiso de ACL.
  3. Configure y aplique una política de tráfico para que la ACL y el comportamiento del tráfico entren en vigencia.

Procedimiento

  1. Agregue interfaces a VLAN y asigne direcciones IP a las interfaces VLANIF.

    # Agregue GE 1/0/1 a través de GE1/0/3 a VLAN 10, 20 y 30 respectivamente, agregue GE2/0/1 a VLAN 100, y asigne direcciones IP a las interfaces VLANIF. Las configuraciones en GE 1/0/1 y VLANIF 10 se usan como ejemplo aquí. Las configuraciones en GE1/0/2, GE1/0/3, y GE2/0/1 son similares a las configuraciones en GE 1/0/1, y las configuraciones en VLANIF 20, VLANIF 30 y VLANIF 100 son similares a las configuraciones en VLANIF 10.

    <Quidway> system-view
    [Quidway] sysname Switch
    [Switch] vlan batch 10 20 30 100
    [Switch] interface gigabitethernet 1/0/1
    [Switch-GigabitEthernet1/0/1] port link-type trunk
    [Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 10
    [Switch-GigabitEthernet1/0/1] quit
    [Switch] interface vlanif 10
    [Switch-Vlanif10] ip address 10.164.1.1 255.255.255.0
    [Switch-Vlanif10] quit
    

  2. Configure una ACL.

    # Cree ACL 3002 avanzada y configure reglas para permitir que los paquetes de la oficina del presidente, del departamento de I+D y el departamento de marketing lleguen al servidor de finanzas y bloqueen los paquetes enviados desde los servidores externos al servidor de finanzas.

    [Switch] acl 3002
    [Switch-acl-adv-3002] rule permit ip source 10.164.1.0 0.0.0.255 destination 10.164.4.4 0.0.0.0  //Permita que la oficina del presidente acceda al servidor de finanzas.
    [Switch-acl-adv-3002] rule permit ip source 10.164.2.0 0.0.0.255 destination 10.164.4.4 0.0.0.0  //Permita que el departamento de marketing acceda al servidor de finanzas.
    [Switch-acl-adv-3002] rule permit ip source 10.164.3.0 0.0.0.255 destination 10.164.4.4 0.0.0.0  //Permita que el departamento de I+D acceda al servidor de finanzas.
    [Switch-acl-adv-3002] rule deny ip destination 10.164.4.4 0.0.0.0  //Evite que otros usuarios accedan al servidor de finanzas.
    [Switch-acl-adv-3002] quit

  3. Configure un clasificador de tráfico basado en ACL.

    # Configure el clasificador de tráfico c_network para clasificar los paquetes que coinciden con ACL 3002.

    [Switch] traffic classifier c_network  //Cree un clasificador de tráfico.
    [Switch-classifier-c_network] if-match acl 3002  //Asocie ACL con el clasificador de tráfico.
    [Switch-classifier-c_network] quit

  4. Configure un comportamiento de tráfico.

    # Configure el comportamiento del tráfico b_network y mantenga la acción establecida para permitir (valor predeterminado).

    NOTA:

    Los paquetes que coinciden con la ACL se descartan siempre que exista una acción deny en una regla de ACL o en el comportamiento del tráfico.

    [Switch] traffic behavior b_network  //Cree un comportamiento de tráfico.
    [Switch-behavior-b_network] quit

  5. Configure la política de tráfico.

    # Configure la política de tráfico p_network y asocie el clasificador de tráfico c_network y el comportamiento del tráfico c_network con la política de tráfico.

    [Switch] traffic policy p_network  //Cree una política de tráfico.
    [Switch-trafficpolicy-p_network] classifier c_network behavior b_network  //Asocie el clasificador de tráfico c_network con el comportamiento del tráfico b_network.
    [Switch-trafficpolicy-p_network] quit

  6. Aplique la política de tráfico.

    # Los paquetes de los hosts internos y externos se envían al servidor de finanzas a través de GE2/0/1; por lo tanto, aplique la política de tráfico p_network a la dirección de salida deGE2/0/1.

    [Switch] interface gigabitethernet 2/0/1
    [Switch-GigabitEthernet2/0/1] traffic-policy p_network outbound  //Aplique la política de tráfico a la dirección de salida de una interfaz.
    [Switch-GigabitEthernet2/0/1] quit

  7. Verifique la configuración

    # Compruebe la configuración de las reglas de ACL.

    [Switch] display acl 3002
    Advanced ACL 3002, 4 rules                                                      
    Acl's step is 5                                                                 
     rule 5 permit ip source 10.164.1.0 0.0.0.255 destination 10.164.4.4 0 (match-counter 0)         
     rule 10 permit ip source 10.164.2.0 0.0.0.255 destination 10.164.4.4 0 (match-counter 0)        
     rule 15 permit ip source 10.164.3.0 0.0.0.255 destination 10.164.4.4 0 (match-counter 0)      
     rule 20 deny ip destination 10.164.4.4 0 (match-counter 0)  

    # Compruebe la configuración del clasificador de tráfico.

    [Switch] display traffic classifier user-defined
      User Defined Classifier Information:
       Classifier: c_network
        Precedence: 5
        Operator: OR
        Rule(s) : if-match acl 3002
    
    Total classifier number is 1

    # Compruebe la configuración de la política de tráfico.

    [Switch] display traffic policy user-defined
      User Defined Traffic Policy Information:                                      
      Policy: p_network                                                              
       Classifier: c_network                                                         
        Operator: OR                                                                
         Behavior: b_network                                                         
          Permit                                                                      
    
    Total policy number is 1

    # Compruebe los registros de la aplicación de la política de tráfico.

    [Switch] display traffic-policy applied-record
    #                                                                                                                                   
    -------------------------------------------------                                                                                   
      Policy Name:   p_network                                                                                                           
      Policy Index:  0                                                                                                                  
         Classifier:c_network     Behavior:b_network                                                                                      
    -------------------------------------------------                                                                                   
     *interface GigabitEthernet2/0/1                          
        traffic-policy p_network outbound                                                                                                 
          slot 2    :  success                                                                                                          
    -------------------------------------------------                                                                                   
      Policy total applied times: 1.                                                                                                    
    #                                                                                                                                   
    

    # La oficina del presidente, el departamento de marketing y el departamento de I+D pueden acceder al servidor de finanzas, pero los servidores externos no pueden.

Archivos de configuración

Archivo de configuración deSwitch

#
sysname Switch
#
vlan batch 10 20 30 100 
#
acl number 3002                                                                 
 rule 5 permit ip source 10.164.1.0 0.0.0.255 destination 10.164.4.4 0          
 rule 10 permit ip source 10.164.2.0 0.0.0.255 destination 10.164.4.4 0         
 rule 15 permit ip source 10.164.3.0 0.0.0.255 destination 10.164.4.4 0         
 rule 20 deny ip destination 10.164.4.4 0  
#
traffic classifier c_network operator or precedence 5
 if-match acl 3002
#
traffic behavior b_network
 permit
#
traffic policy p_network match-order config
 classifier c_network behavior b_network
#
interface Vlanif10
 ip address 10.164.1.1 255.255.255.0
#
interface Vlanif20
 ip address 10.164.2.1 255.255.255.0
#
interface Vlanif30
 ip address 10.164.3.1 255.255.255.0
#
interface Vlanif100
 ip address 10.164.4.1 255.255.255.0  
#
interface GigabitEthernet1/0/1
 port link-type trunk                                                           
 port trunk allow-pass vlan 10 
#
interface GigabitEthernet1/0/2
 port link-type trunk                                                           
 port trunk allow-pass vlan 20 
#
interface GigabitEthernet1/0/3
 port link-type trunk                                                           
 port trunk allow-pass vlan 30 
#
interface GigabitEthernet2/0/1
 port link-type trunk                                                           
 port trunk allow-pass vlan 100 
 traffic-policy p_network outbound
#
return 
Descargar
Updated: 2018-08-15

N.° del documento: EDOC1100027119

Vistas:15494

Descargas: 129

Average rating:
This Document Applies to these Products
Documentos relacionados
Related Version
Share
Anterior Siguiente