所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-安全

本文档介绍了安全的配置,具体包括ACL配置、本机防攻击配置、MFF配置、攻击防范配置、流量抑制及风暴控制配置、ARP安全配置、端口安全配置、DHCP Snooping配置、ND Snooping配置、PPPoE+配置、IPSG配置、SAVI配置、URPF配置、Keychain配置、MPAC配置、PKI配置、业务与管理隔离配置、安全风险查询配置
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
使用高级ACL限制用户在特定时间访问特定服务器的权限示例

使用高级ACL限制用户在特定时间访问特定服务器的权限示例

组网需求

图1-17所示,某公司通过Switch实现各部门之间的互连。公司要求禁止研发部门和市场部门在上班时间(8:00至17:30)访问工资查询服务器(IP地址为10.164.9.9),总裁办公室不受限制,可以随时访问。

图1-17  使用高级ACL限制用户在特定时间访问特定服务器的权限组网图

配置思路

采用如下的思路在Switch上进行配置:
  1. 配置时间段、高级ACL和基于ACL的流分类,使设备可以基于时间的ACL,对用户访问服务器的报文进行过滤,从而限制不同用户在特定时间访问特定服务器的权限。
  2. 配置流行为,拒绝匹配上ACL的报文通过。
  3. 配置并应用流策略,使ACL和流行为生效。

操作步骤

  1. 配置接口加入VLAN,并配置VLANIF接口的IP地址

    # 将GE0/0/1GE0/0/3分别加入VLAN10、20、30,GE0/0/4加入VLAN100,并配置各VLANIF接口的IP地址。下面配置以GE0/0/1和VLANIF 10接口为例,接口GE0/0/2GE0/0/3GE0/0/4的配置与GE0/0/1接口类似,接口VLANIF 20、VLANIF 30和VLANIF 100的配置与VLANIF 10接口类似,不再赘述。

    <HUAWEI> system-view
    [HUAWEI] sysname Switch
    [Switch] vlan batch 10 20 30 100
    [Switch] interface gigabitethernet 0/0/1
    [Switch-GigabitEthernet0/0/1] port link-type trunk
    [Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 10
    [Switch-GigabitEthernet0/0/1] quit
    [Switch] interface vlanif 10
    [Switch-Vlanif10] ip address 10.164.1.1 255.255.255.0
    [Switch-Vlanif10] quit
    

  2. 配置时间段

    # 配置8:00至17:30的周期时间段。

    [Switch] time-range satime 8:00 to 17:30 working-day
    

  3. 配置ACL

    # 配置市场部门到工资查询服务器的访问规则。

    [Switch] acl 3002
    [Switch-acl-adv-3002] rule deny ip source 10.164.2.0 0.0.0.255 destination 10.164.9.9 0.0.0.0 time-range satime
    [Switch-acl-adv-3002] quit

    # 配置研发部门到工资查询服务器的访问规则。

    [Switch] acl 3003
    [Switch-acl-adv-3003] rule deny ip source 10.164.3.0 0.0.0.255 destination 10.164.9.9 0.0.0.0 time-range satime
    [Switch-acl-adv-3003] quit

  4. 配置基于ACL的流分类

    # 配置流分类c_market,对匹配ACL 3002的报文进行分类。

    [Switch] traffic classifier c_market
    [Switch-classifier-c_market] if-match acl 3002
    [Switch-classifier-c_market] quit

    # 配置流分类c_rd,对匹配ACL 3003的报文进行分类。

    [Switch] traffic classifier c_rd
    [Switch-classifier-c_rd] if-match acl 3003
    [Switch-classifier-c_rd] quit

  5. 配置流行为

    # 配置流行为b_market,动作为拒绝报文通过。

    [Switch] traffic behavior b_market
    [Switch-behavior-b_market] deny
    [Switch-behavior-b_market] quit

    # 配置流行为b_rd,动作为拒绝报文通过。

    [Switch] traffic behavior b_rd
    [Switch-behavior-b_rd] deny
    [Switch-behavior-b_rd] quit

  6. 配置流策略

    # 配置流策略p_market,将流分类c_market与流行为b_market关联。

    [Switch] traffic policy p_market
    [Switch-trafficpolicy-p_market] classifier c_market behavior b_market
    [Switch-trafficpolicy-p_market] quit

    # 配置流策略p_rd,将流分类c_rd与流行为b_rd关联。

    [Switch] traffic policy p_rd
    [Switch-trafficpolicy-p_rd] classifier c_rd behavior b_rd
    [Switch-trafficpolicy-p_rd] quit

  7. 应用流策略

    # 由于市场部访问服务器的流量从接口GE0/0/2进入Switch,所以可以在GE0/0/2接口的入方向应用流策略p_market。

    [Switch] interface gigabitethernet 0/0/2
    [Switch-GigabitEthernet0/0/2] traffic-policy p_market inbound
    [Switch-GigabitEthernet0/0/2] quit

    # 由于研发部访问服务器的流量从接口GE0/0/3进入Switch,所以可以在GE0/0/3接口的入方向应用流策略p_rd。

    [Switch] interface gigabitethernet 0/0/3
    [Switch-GigabitEthernet0/0/3] traffic-policy p_rd inbound
    [Switch-GigabitEthernet0/0/3] quit

  8. 验证配置结果

    # 查看ACL规则的配置信息。

    [Switch] display acl all
     Total nonempty ACL number is 2
    
    Advanced ACL 3002, 1 rule
    Acl's step is 5
     rule 5 deny ip source 10.164.2.0 0.0.0.255 destination 10.164.9.9 0 time-range satime (Active)
    
    Advanced ACL 3003, 1 rule
    Acl's step is 5
     rule 5 deny ip source 10.164.3.0 0.0.0.255 destination 10.164.9.9 0 time-range satime (Active)

    # 查看流分类的配置信息。

    [Switch] display traffic classifier user-defined
      User Defined Classifier Information:                                          
       Classifier: c_market                                                         
        Operator: OR                                                                
        Rule(s) : if-match acl 3002                                                 
                                                                                    
       Classifier: c_rd                                                             
        Operator: OR                                                                
        Rule(s) : if-match acl 3003                                                 
                                                                                    
    Total classifier number is 2                 

    # 查看流策略的配置信息。

    [Switch] display traffic policy user-defined
      User Defined Traffic Policy Information:                                      
      Policy: p_market                                                              
       Classifier: c_market                                                             
        Operator: OR                                                                
         Behavior: b_market                                                             
          Deny                                                                      
                                                                                    
      Policy: p_rd                                                                  
       Classifier: c_rd                                                             
        Operator: OR                                                                
         Behavior: b_rd                                                             
          Deny                                                                      
                                                                                    
    Total policy number is 2                         

    # 查看流策略的应用信息。

    [Switch] display traffic-policy applied-record
    #                                                                                                                                   
    -------------------------------------------------                                                                                   
      Policy Name:   p_market                                                                                                           
      Policy Index:  0                                                                                                                  
         Classifier:c_market     Behavior:b_market                                                                                      
    -------------------------------------------------                                                                                   
     *interface GigabitEthernet0/0/2                          
        traffic-policy p_market inbound                                                                                                 
          slot 0    :  success                                                                                                          
    -------------------------------------------------                                                                                   
      Policy total applied times: 1.                                                                                                    
    #                                                                                                                                   
    -------------------------------------------------                                                                                   
      Policy Name:   p_rd                                                                                                               
      Policy Index:  1                                                                                                                  
         Classifier:c_rd     Behavior:b_rd                                                                                              
    -------------------------------------------------                                                                                   
     *interface GigabitEthernet0/0/3                                                                                                    
        traffic-policy p_rd inbound                                                                                                     
          slot 0    :  success                                                                                                          
    -------------------------------------------------                                                                                   
      Policy total applied times: 1.                                                                                                    
    # 

    # 研发部门和市场部门在上班时间(8:00至17:30)无法访问工资查询服务器。

配置文件

Switch的配置文件

#
sysname Switch
#
vlan batch 10 20 30 100 
#
time-range satime 08:00 to 17:30 working-day
#
acl number 3002
 rule 5 deny ip source 10.164.2.0 0.0.0.255 destination 10.164.9.9 0 time-range satime
acl number 3003
 rule 5 deny ip source 10.164.3.0 0.0.0.255 destination 10.164.9.9 0 time-range satime
#
traffic classifier c_market operator or
 if-match acl 3002
traffic classifier c_rd operator or
 if-match acl 3003
#
traffic behavior b_market
 deny
traffic behavior b_rd
 deny
#
traffic policy p_market match-order config
 classifier c_market behavior b_market
traffic policy p_rd match-order config
 classifier c_rd behavior b_rd
#
interface Vlanif10
 ip address 10.164.1.1 255.255.255.0
#
interface Vlanif20
 ip address 10.164.2.1 255.255.255.0
#
interface Vlanif30
 ip address 10.164.3.1 255.255.255.0
#
interface Vlanif100
 ip address 10.164.9.1 255.255.255.0  
#
interface GigabitEthernet0/0/1
 port link-type trunk                                                           
 port trunk allow-pass vlan 10 
#
interface GigabitEthernet0/0/2
 port link-type trunk                                                           
 port trunk allow-pass vlan 20 
 traffic-policy p_market inbound
#
interface GigabitEthernet0/0/3
 port link-type trunk                                                           
 port trunk allow-pass vlan 30 
 traffic-policy p_rd inbound  
#
interface GigabitEthernet0/0/4
 port link-type trunk                                                           
 port trunk allow-pass vlan 100 
#
return 
翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038434

浏览量:34393

下载量:976

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页