所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

NE20E-S2 V800R010C10SPC500 配置指南 - IP业务 01

本文档是NE20E-S2 V800R010C10SPC500 配置指南 - IP业务
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置应用基本ACL管理设备访问权限示例

配置应用基本ACL管理设备访问权限示例

本举例介绍应用基本ACL管理设备访问权限的配置过程。

组网需求

某公司有两个部门,只允许A部门访问人力资源部,不允许B部门访问人力资源部。同时两个部门之间不允许互相访问。

图3-12所示,PE代表人力资源的设备,在PE上绑定两个VPN实例,CE1代表部门A属于VPN-A,CE2代表部门B属于VPN-B;VPN-A使用的VPN-target属性为111:1,VPN-B使用的VPN-target属性为222:2。在PE设备上配置ACL规则,允许属于VPN-A的用户通过telnet方式登录PE设备,拒绝属于VPN-B的用户登录PE设备。实现只允许A部门访问人力资源部,不允许B部门访问人力资源部,同时两个部门之间不允许互相访问。

图3-12 配置应用基本ACL管理设备访问权限组网图
说明:

本例中interface1,interface2分别代表GE0/1/0,GE0/2/0



配置思路

配置ACL的思路如下:

  1. 配置VPN实例,规划不同部门所属的VPN。

  2. 定义ACL的具体规则,规划属于不同VPN用户对PE设备的访问权限。

  3. 配置应用ACL,实现控制不同VPN用户对PE设备具有不同的访问权限。

数据准备

为完成此配置例,需准备如下的数据:

  • ACL编号

  • 区分不同部门的VPN实例名字

操作步骤

  1. 在PE设备上配置VPN实例

    # 配置VPN-A。

    <HUAWEI> system-view
    [~HUAWEI] sysname PE
    [*HUAWEI] commit
    [~PE] ip vpn-instance vpna
    [*PE-vpn-instance-vpna] ipv4-family
    [*PE-vpn-instance-vpna-af-ipv4] route-distinguisher 100:1
    [*PE-vpn-instance-vpna-af-ipv4] vpn-target 111:1 both
    [*PE-vpn-instance-vpna-af-ipv4] commit
    [~PE-vpn-instance-vpna-af-ipv4] quit
    [~PE-vpn-instance-vpna] quit
    [~PE] interface gigabitethernet 0/1/0
    [~PE-GigabitEthernet0/1/0] ip binding vpn-instance vpna
    [*PE-GigabitEthernet0/1/0] ip address 10.1.1.1 24
    [*PE-GigabitEthernet0/1/0] commit
    [~PE-GigabitEthernet0/1/0] quit

    # 配置VPN-B。

    [~PE] ip vpn-instance vpnb
    [*PE-vpn-instance-vpnb] ipv4-family
    [*PE-vpn-instance-vpnb-af-ipv4] route-distinguisher 100:2
    [*PE-vpn-instance-vpnb-af-ipv4] vpn-target 222:2 both
    [*PE-vpn-instance-vpnb-af-ipv4] commit
    [~PE-vpn-instance-vpnb-af-ipv4] quit
    [~PE-vpn-instance-vpnb] quit
    [~PE] interface gigabitethernet 0/2/0
    [~PE-GigabitEthernet0/2/0] ip binding vpn-instance vpnb
    [*PE-GigabitEthernet0/2/0] ip address 10.2.1.1 24
    [*PE-GigabitEthernet0/2/0] commit
    [~PE-GigabitEthernet0/2/0] quit

  2. PE设备上配置一个ACL规则,用于允许属于VPN-A的用户通过telnet方式登录PE设备,拒绝属于VPN-B的用户登录PE设备

    [~PE] acl number 2001
    [*PE-acl4-basic-2001] rule permit vpn-instance vpna
    [*PE-acl4-basic-2001] rule deny vpn-instance vpnb
    [*PE-acl4-basic-2001] commit
    [~PE-acl4-basic-2001] quit

  3. 在PE设备上配置采用ACL方式控制用户Telnet PE设备

    [~PE] user-interface vty 0 4
    [~PE-ui-vty0-4] authentication-mode password
    [*PE-ui-vty0-4] set authentication password
    Please configure the login password (8-16)
    Enter Password:
    Confirm Password:
    [*PE-ui-vty0-4] acl 2001 inbound
    [*PE-ui-vty0-4] commit

  4. 在CE1和CE2上根据图3-12所示配置IP地址。具体配置过程省略,请参考配置文件。
  5. 检查配置结果

    # 从CE1 Telnet到PE设备上。

    <CE1> telnet vpn-instance vpna 10.1.1.1
    Trying 10.1.1.1 ...                                                             
    Press CTRL+K to abort                                                           
    Connected to 10.1.1.1 ...                                                       
    Info: The max number of VTY users is 10, and the number                         
          of current VTY users on line is 1.  
    <PE>

    可以看出CE1设备可以通过telnet方式登录到PE设备上。

    # 从CE2 Telnet到PE设备上。

    <CE2> telnet vpn-instance vpnb 10.2.1.1
    Trying 10.2.1.1 ...
    Press CTRL+K to abort
    Error: Failed to connect to the remote host.Press CTRL+K to abort

    可以看出CE2设备不可以通过telnet方式登录到PE设备上。

    # 从CE1 Telnet到CE2设备上。

    <CE1> telnet vpn-instance vpnb 10.2.1.2
    Trying 10.2.1.2 ...
    Press CTRL+K to abort
    Error: Failed to connect to the remote host.Press CTRL+K to abort

    可以看出CE1设备不可以通过telnet方式登录到CE2设备上。

配置文件

  • PE的配置文件

    #
     sysname PE
    #
    ip vpn-instance vpna
     route-distinguisher 100:1
     vpn-target 111:1 export-extcommunity
     vpn-target 111:1 import-extcommunity
    ip vpn-instance vpnb
     route-distinguisher 100:2
     vpn-target 222:2 export-extcommunity
     vpn-target 222:2 import-extcommunity
    #
    acl number 2001
     rule 5 permit vpn-instance vpna
     rule 10 deny vpn-instance vpnb
    #
    interface GigabitEthernet0/1/0
     undo shutdown
     ip binding vpn-instance vpna
     ip address 10.1.1.1 255.255.255.0
    #
    interface GigabitEthernet0/2/0
     undo shutdown
     ip binding vpn-instance vpnb
     ip address 10.2.1.1 255.255.255.0
    #    
    user-interface con 0
    user-interface vty 0 4
     acl 2001 inbound
     authentication-mode password
     user privilege level 15
     set authentication password cipher \Ly$!c2@a#x#R32H{7y/U4=1$A*:Z$\@<>
    user-interface vty 16 20
    #
    return
  • CE1的配置文件

    #
     sysname CE1
    #
    ip vpn-instance vpna
     route-distinguisher 100:1
     vpn-target 111:1 export-extcommunity
     vpn-target 111:1 import-extcommunity
    #
    interface GigabitEthernet0/1/0
     undo shutdown
     ip binding vpn-instance vpna
     ip address 10.1.1.2 255.255.255.0
    #
    user-interface con 0
    user-interface vty 0 4
    user-interface vty 16 20
    #
    return
  • CE2的配置文件

    #
     sysname CE2
    #
    ip vpn-instance vpnb
     route-distinguisher 100:2
     vpn-target 222:2 export-extcommunity
     vpn-target 222:2 import-extcommunity
    #
    interface GigabitEthernet0/1/0
     undo shutdown
     ip binding vpn-instance vpnb
     ip address 10.2.1.2 255.255.255.0
    #
    user-interface con 0
    user-interface vty 0 4
    user-interface vty 16 20
    #
    return
翻译
下载文档
更新时间:2018-12-29

文档编号:EDOC1100057893

浏览量:1615

下载量:11

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页