所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-安全

本文档介绍了安全的配置,具体包括ACL配置、本机防攻击配置、MFF配置、攻击防范配置、流量抑制及风暴控制配置、ARP安全配置、端口安全配置、DHCP Snooping配置、ND Snooping配置、PPPoE+配置、IPSG配置、SAVI配置、URPF配置、Keychain配置、MPAC配置、PKI配置、业务与管理隔离配置、安全风险查询配置
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
在OSPF中使用基本ACL过滤路由信息示例

在OSPF中使用基本ACL过滤路由信息示例

组网需求

图1-15所示,运行OSPF协议的网络中,SwitchA从Internet网络接收路由,并为OSPF网络提供了Internet路由。用户希望OSPF网络中只能访问172.16.17.0/24、172.16.18.0/24和172.16.19.0/24三个网段的网络,其中SwitchC连接的网络只能访问172.16.18.0/24网段的网络。

图1-15  配置对接收和发布的路由过滤组网图

设备名

接口

对应的VLANIF

IP地址

SwitchA

GE0/0/1

VLANIF10

192.168.1.1/24

SwitchB

GE0/0/1

VLANIF10

192.168.1.2/24

SwitchB

GE0/0/2

VLANIF20

192.168.2.1/24

SwitchC

GE0/0/1

VLANIF20

192.168.2.2/24

配置思路

采用如下的思路配置对路由进行过滤:

  1. SwitchA上配置ACL,在路由发布时应用ACL,使SwitchA仅提供路由172.16.17.0/24、172.16.18.0/24、172.16.19.0/24SwitchB,实现OSPF网络中只能访问172.16.17.0/24、172.16.18.0/24、172.16.19.0/24三个网段的网络。

  2. SwitchC上配置ACL,在路由引入时应用ACL,使SwitchC仅接收路由172.16.18.0/24,实现SwitchC连接的网络只能访问172.16.18.0/24网段的网络。

操作步骤

  1. 配置各接口所属的VLAN

    # 配置SwitchA。SwitchB和SwitchC的配置与SwitchA类似。

    <HUAWEI> system-view
    [HUAWEI] sysname SwitchA
    [SwitchA] vlan batch 10
    [SwitchA] interface gigabitethernet 0/0/1
    [SwitchA-GigabitEthernet0/0/1] port link-type trunk
    [SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
    [SwitchA-GigabitEthernet0/0/1] quit
    

  2. 配置各VLANIF接口的IP地址

    # 配置SwitchA。SwitchB和SwitchC的配置与SwitchA类似。

    [SwitchA] interface vlanif 10
    [SwitchA-Vlanif10] ip address 192.168.1.1 24
    [SwitchA-Vlanif10] quit

  3. 配置OSPF基本功能

    # SwitchA的配置。

    [SwitchA] ospf
    [SwitchA-ospf-1] area 0
    [SwitchA-ospf-1-area-0.0.0.0] network 192.168.1.0 0.0.0.255
    [SwitchA-ospf-1-area-0.0.0.0] quit
    [SwitchA-ospf-1] quit

    # SwitchB的配置。

    [SwitchB] ospf
    [SwitchB-ospf-1] area 0
    [SwitchB-ospf-1-area-0.0.0.0] network 192.168.1.0 0.0.0.255
    [SwitchB-ospf-1-area-0.0.0.0] network 192.168.2.0 0.0.0.255
    [SwitchB-ospf-1-area-0.0.0.0] quit
    [SwitchB-ospf-1] quit

    # SwitchC的配置。

    [SwitchC] ospf
    [SwitchC-ospf-1] area 0
    [SwitchC-ospf-1-area-0.0.0.0] network 192.168.2.0 0.0.0.255
    [SwitchC-ospf-1-area-0.0.0.0] quit
    [SwitchC-ospf-1] quit

  4. SwitchA配置5条静态路由,并在将这些静态路由引入到OSPF协议中

    [SwitchA] ip route-static 172.16.16.0 24 NULL 0
    [SwitchA] ip route-static 172.16.17.0 24 NULL 0
    [SwitchA] ip route-static 172.16.18.0 24 NULL 0
    [SwitchA] ip route-static 172.16.19.0 24 NULL 0
    [SwitchA] ip route-static 172.16.20.0 24 NULL 0
    [SwitchA] ospf
    [SwitchA-ospf-1] import-route static
    [SwitchA-ospf-1] quit

    # 在SwitchB查看IP路由表,可以看到OSPF引入的5条静态路由。

    [SwitchB] display ip routing-table
    Route Flags: R - relay, D - download to fib
    ------------------------------------------------------------------------------
    Routing Tables: Public
             Destinations : 11       Routes : 11
    
     Destination/Mask    Proto  Pre  Cost     Flags NextHop         Interface 
    
          127.0.0.0/8    Direct 0    0           D  127.0.0.1       InLoopBack0
          127.0.0.1/32   Direct 0    0           D  127.0.0.1       InLoopBack0
        172.16.16.0/24   O_ASE  150  1           D  192.168.1.1     Vlanif10
        172.16.17.0/24   O_ASE  150  1           D  192.168.1.1     Vlanif10
        172.16.18.0/24   O_ASE  150  1           D  192.168.1.1     Vlanif10
        172.16.19.0/24   O_ASE  150  1           D  192.168.1.1     Vlanif10
        172.16.20.0/24   O_ASE  150  1           D  192.168.1.1     Vlanif10
        192.168.1.0/24   Direct 0    0           D  192.168.1.2     Vlanif10
        192.168.1.2/32   Direct 0    0           D  127.0.0.1       Vlanif10
        192.168.2.0/24   Direct 0    0           D  192.168.2.1     Vlanif20
        192.168.2.1/32   Direct 0    0           D  127.0.0.1       Vlanif20
    

  5. 配置路由发布策略

    # 在SwitchA配置ACL 2002,允许172.16.17.0/24、172.16.18.0/24和172.16.19.0/24通过。

    [SwitchA] acl number 2002
    [SwitchA-acl-basic-2002] rule permit source 172.16.17.0 0.0.0.255
    [SwitchA-acl-basic-2002] rule permit source 172.16.18.0 0.0.0.255
    [SwitchA-acl-basic-2002] rule permit source 172.16.19.0 0.0.0.255
    [SwitchA-acl-basic-2002] quit
    

    # 在SwitchA配置发布策略,引用ACL 2002进行过滤。

    [SwitchA] ospf
    [SwitchA-ospf-1] filter-policy 2002 export static
    [SwitchA-ospf-1] quit

    # 在SwitchB查看IP路由表,可以看到SwitchB仅接收到ACL 2002中定义的3条路由。

    [SwitchB] display ip routing-table
    Route Flags: R - relay, D - download to fib
    ------------------------------------------------------------------------------
    Routing Tables: Public
             Destinations : 9        Routes : 9
     
    Destination/Mask    Proto  Pre  Cost     Flags NextHop         Interface
     
          127.0.0.0/8   Direct 0    0           D  127.0.0.1       InLoopBack0
          127.0.0.1/32  Direct 0    0           D  127.0.0.1       InLoopBack0
        172.16.17.0/24  O_ASE  150  1           D  192.168.1.1     Vlanif10
        172.16.18.0/24  O_ASE  150  1           D  192.168.1.1     Vlanif10
        172.16.19.0/24  O_ASE  150  1           D  192.168.1.1     Vlanif10
        192.168.1.0/24  Direct 0    0           D  192.168.1.2     Vlanif10
        192.168.1.2/32  Direct 0    0           D  127.0.0.1       Vlanif10
        192.168.2.0/24  Direct 0    0           D  192.168.2.1     Vlanif20
        192.168.2.1/32  Direct 0    0           D  127.0.0.1       Vlanif20
    

  6. 配置路由接收策略

    # 在SwitchC配置ACL 2003,允许172.16.18.0/24通过。

    [SwitchC] acl number 2003
    [SwitchC-acl-basic-2003] rule permit source 172.16.18.0 0.0.0.255
    [SwitchC-acl-basic-2003] quit

    # 在SwitchC配置接收策略,引用ACL 2003进行过滤。

    [SwitchC] ospf
    [SwitchC-ospf-1] filter-policy 2003 import
    [SwitchC-ospf-1] quit

    # 查看SwitchC的IP路由表,可以看到SwitchC的本地路由表中,仅接收了ACL 2003定义的1条路由。

    [SwitchC] display ip routing-table
    Route Flags: R - relay, D - download to fib
    ------------------------------------------------------------------------------
    Routing Tables: Public
             Destinations : 5        Routes : 5
     
    Destination/Mask    Proto  Pre  Cost     Flags NextHop         Interface
     
          127.0.0.0/8    Direct 0    0           D  127.0.0.1       InLoopBack0
          127.0.0.1/32   Direct 0    0           D  127.0.0.1       InLoopBack0
        172.16.18.0/24   O_ASE  150  1           D  192.168.2.1     Vlanif20
        192.168.2.0/24   Direct 0    0           D  192.168.2.2     Vlanif20
        192.168.2.2/32   Direct 0    0           D  127.0.0.1       Vlanif20
    

配置文件

  • SwitchA的配置文件

    #
    sysname SwitchA
    #
    vlan batch 10
    #
    acl number 2002                                                                 
     rule 5 permit source 172.16.17.0 0.0.0.255                                      
     rule 10 permit source 172.16.18.0 0.0.0.255                                     
     rule 15 permit source 172.16.19.0 0.0.0.255                                     
    #
    interface Vlanif10
     ip address 192.168.1.1 255.255.255.0
    #
    interface GigabitEthernet0/0/1
     port link-type trunk
     port trunk allow-pass vlan 10
    #
    ospf 1
     filter-policy 2002 export static 
     import-route static
     area 0.0.0.0
      network 192.168.1.0 0.0.0.255
    #
    ip route-static 172.16.16.0 255.255.255.0 NULL0
    ip route-static 172.16.17.0 255.255.255.0 NULL0
    ip route-static 172.16.18.0 255.255.255.0 NULL0
    ip route-static 172.16.19.0 255.255.255.0 NULL0
    ip route-static 172.16.20.0 255.255.255.0 NULL0
    #
    return
  • SwitchB的配置文件

    #
    sysname SwitchB
    #
    vlan batch 10 20
    #
    interface Vlanif10
     ip address 192.168.1.2 255.255.255.0
    #
    interface Vlanif20
     ip address 192.168.2.1 255.255.255.0
    #
    interface GigabitEthernet0/0/1
     port link-type trunk
     port trunk allow-pass vlan 10
    #
    interface GigabitEthernet0/0/2
     port link-type trunk
     port trunk allow-pass vlan 20
    #
    ospf 1
     area 0.0.0.0
      network 192.168.1.0 0.0.0.255
      network 192.168.2.0 0.0.0.255
    #
    return
  • SwitchC的配置文件

    #
    sysname SwitchC
    #
    vlan batch 20
    #
    acl number 2003                                                                 
     rule 5 permit source 172.16.18.0 0.0.0.255 
    #
    interface Vlanif20
     ip address 192.168.2.2 255.255.255.0
    #
    interface GigabitEthernet0/0/1
     port link-type trunk
     port trunk allow-pass vlan 20
    #
    ospf 1
     filter-policy 2003 import
     area 0.0.0.0
      network 192.168.2.0 0.0.0.255
    #
    return
翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038434

浏览量:34135

下载量:973

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页