所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S7700, S7900, S9700 V200R012(C00&C10) 配置指南(Web网管)

本文档介绍了如何通过Web网管客户端配置和维护设备,主要包括设备状态统计、SVF配置、接口配置、以太网交换配置、IP业务配置、IP路由配置、安全配置、ACL管理、AAA配置、系统管理配置、QoS管理、WLAN配置、诊断业务配置、EasyDeploy配置等。

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
使用高级ACL限制用户在特定时间访问特定服务器的权限示例

使用高级ACL限制用户在特定时间访问特定服务器的权限示例

ACL简介

访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。

ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。

基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL等种类。高级ACL根据源IP地址、目的IP地址、IP协议类型、TCP源/目的端口、UDP源/目的端口号、分片信息和生效时间段等信息来定义规则,对IPv4报文进行过滤。与基本ACL相比,高级ACL提供了更准确、丰富、灵活的规则定义方法。例如,当希望同时根据源IP地址和目的IP地址对报文进行过滤时,则需要配置高级ACL。

本例,就是通过配置高级ACL,使设备可以对用户在特定时间访问特定服务器的报文进行过滤,达到基于时间限制用户访问该服务器权限的目的。

组网需求

图10-133所示,某公司通过Switch实现各部门之间的互连。公司要求禁止研发部门和市场部门在上班时间(8:00至17:30)访问工资查询服务器(IP地址为10.164.9.9/24),总裁办公室不受限制,可以随时访问。

图10-133  使用高级ACL限制用户在特定时间访问特定服务器的权限组网图

配置思路

采用如下的思路在Switch上进行配置:
  1. 配置VLAN和VLANIF接口的IP地址。
  2. 配置时间段和高级ACL。
  3. 应用ACL,使设备可以通过基于时间的ACL,对用户访问服务器的报文进行过滤,从而限制不同用户在特定时间访问特定服务器的权限。

操作步骤

  1. 配置接口加入VLAN,并配置VLANIF接口的IP地址。
    1. 依次单击配置 > 基本业务管理 > VLAN菜单,进入VLAN配置页面。
    2. 单击“新建”,进入“新建VLAN”界面。

      • 设置“VLAN ID”“10”
      • 勾选“创建VLANIF接口”,在“IPv4地址”输入“10.164.1.1”,选择“掩码”“24”
      • 单击“添加接口”,单击“选择接口”,选择接口“GigabitEthernet1/0/1”,并单击“确定”

      图10-134所示,单击“确定”,完成配置。

      图10-134  配置VLAN 10

    3. 配置VLAN 20VLAN 30VLAN 100方法与配置VLAN 10类似,各配置项如表10-6所示。

      表10-6  配置VLAN列表

      VLAN ID

      IP地址

      掩码

      接口名称

      20

      10.164.2.1

      255.255.255.0

      GigabitEthernet1/0/2

      30

      10.164.3.1

      255.255.255.0

      GigabitEthernet1/0/3

      100

      10.164.9.1

      255.255.255.0

      GigabitEthernet1/0/4

  2. 配置时间段。
    1. 依次单击配置 > 安全业务管理 > ACL配置 > 生效时间段菜单,进入生效时间段置页面。
    2. 单击“新建”,进入“新建生效时间段”界面。

      • 设置“生效时间段名称”
      • 取消勾选“时间范围”
      • “周期时间”中设置“每周生效时间”“开始时间”“结束时间”,单击

      图10-135所示,单击“确定”,完成配置。

      图10-135  配置时间段

  3. 配置ACL。
    1. 依次单击配置 > 安全业务管理 > ACL配置菜单,进入ACL配置页面。
    2. 单击“新建”,进入“新建ACL”界面,设置“ACL编号”“3002”,如图10-136所示,单击“确定”,新建ACL 3002完成。

      图10-136  新建ACL 3002

    3. 单击ACL 3002后的“添加规则”,设置“动作”“协议类型”“指定源IP”“指定目的IP”“通配符”“生效时间段”,如图10-137所示,单击“确定”,完成配置。

      图10-137  配置ACL 3002

    4. 配置ACL 3003的步骤与配置ACL 3002类似,配置结果如图10-138所示。

      图10-138  配置ACL 3003

  4. 应用ACL。
    1. 依次单击配置 > 安全业务管理 > ACL应用 > 接口ACL菜单。
    2. 设置“接口名称”,在“入方向接口ACL编号”后,单击“增加”,选择相应的ACL,如图10-139图10-140所示,单击“应用”,完成配置。

      说明:
      由于市场部访问服务器的流量从接口GE0/0/2进入Switch,研发部访问服务器的流量从接口GE0/0/3进入Switch,所以在这两个接口的入方向应用相应的ACL。

      图10-139  应用ACL 3002

      图10-140  应用ACL 3003

操作结果

  1. 单击配置 > 安全业务管理 > ACL配置,ACL信息如图10-141图10-142所示。
    图10-141  ACL 3002规则

    图10-142  ACL 3003规则

  2. 依次单击配置 > 安全业务管理 > ACL应用 > 接口ACL菜单,分别单击GigabitEthernet1/0/2GigabitEthernet1/0/3,查看绑定的ACL信息,如图10-139图10-140所示。
  3. 研发部门和市场部门在上班时间(8:00至17:30)无法访问工资查询服务器。

翻译
下载文档
更新时间:2018-09-04

文档编号:EDOC1100038911

浏览量:6168

下载量:515

平均得分:
本文档适用于这些产品

相关版本

相关文档

Share
上一页 下一页