应用高级ACL配置流分类示例

CloudEngine 12800, 12800E V200R005C10 配置指南-安全

本文档介绍了安全的配置，具体包括AAA配置、802.1x认证配置、ACL配置、TCAM ACL资源自定义配置、本机防攻击配置、微分段、MFF配置、攻击防范配置、流量抑制及风暴控制配置、ARP安全配置、端口安全配置、MACsec配置、DHCP Snooping配置、IPSG配置、URPF配置、SSL配置、Keychain配置和FIPS配置。

前言
AAA配置
- AAA简介
- AAA原理描述
- AAA应用场景
- AAA配置注意事项
- AAA配置任务概览
- 配置采用本地方式进行认证和授权
- 配置采用RADIUS方式进行认证、授权和计费
- 配置采用HWTACACS方式进行认证、授权和计费
- 清除AAA统计信息
- AAA配置举例
  - 配置采用RADIUS协议进行认证和计费示例
  - 配置采用HWTACACS协议进行认证、授权和计费示例
- AAA常见配置错误
  - 配置简单密码导致创建AAA本地用户失败
802.1x认证配置
- 802.1x原理描述
- 802.1x应用场景
- 802.1x配置注意事项
- 802.1x缺省配置
- 配置802.1x认证
- 维护802.1x认证
  - 清除802.1x认证报文统计信息
  - 强制在线用户下线
- 802.1x配置举例
  - 配置通过802.1x认证控制企业用户访问网络示例
ACL配置
- ACL简介
- ACL原理描述
- ACL应用场景
- ACL配置注意事项
- ACL缺省配置
- 配置基本ACL
- 配置高级ACL
- 配置二层ACL
- 配置用户自定义ACL
- 配置基于ARP的ACL
- 配置基本ACL6
- 配置高级ACL6
- 维护ACL
  - 清除ACL的统计信息
  - 查看业务使用ACL资源的信息
- ACL配置举例
- ACL FAQ
  - 应用在流策略中的ACL不支持对哪些报文进行过滤？
TCAM ACL资源自定义配置
- TCAM ACL资源自定义简介
- TCAM ACL资源自定义配置注意事项
- TCAM ACL资源自定义功能配置
  - 使能TCAM ACL资源自定义功能
  - 配置业务使用TCAM ACL资源自定义功能
- 查看TCAM ACL自定义模板或预置模板信息
- TCAM ACL资源自定义配置举例
  - 配置TCAM ACL资源自定义示例
微分段配置
- 微分段简介
- 微分段原理描述
- 微分段应用场景
- 微分段配置注意事项
- 配置微分段
- 维护微分段
  - 查看微分段统计信息
  - 清除微分段统计信息
- 微分段配置举例
  - 配置基于IP地址的微分段示例
本机防攻击配置
- 本机防攻击简介
- 本机防攻击配置注意事项
- 本机防攻击缺省配置
- 配置CPU防攻击
- 配置攻击溯源
- 维护本机防攻击
- 本机防攻击配置举例
  - 配置本机防攻击示例
- 本机防攻击常见配置错误
MFF配置
- MFF简介
- MFF原理描述
- MFF应用场景
- MFF配置注意事项
- 配置MFF
- MFF配置举例
  - 配置MFF功能实现用户的二层隔离和三层互通示例
- MFF常见配置错误
  - 配置MFF功能后用户不能上网
攻击防范配置
- 攻击防范简介
- 攻击防范原理描述
- 攻击防范应用场景
- 攻击防范配置注意事项
- 攻击防范缺省配置
- 配置畸形报文攻击防范
- 配置分片报文攻击防范
- 配置泛洪攻击防范
- 清除攻击防范统计信息
- 攻击防范配置举例
  - 配置攻击防范示例
流量抑制及风暴控制配置
- 流量抑制及风暴控制简介
- 流量抑制及风暴控制原理描述
  - 流量抑制的基本原理
  - 风暴控制的基本原理
- 流量抑制及风暴控制应用场景
  - 流量抑制的典型应用
  - 风暴控制的典型应用
- 流量抑制及风暴控制配置注意事项
- 流量抑制及风暴控制缺省配置
- 配置流量抑制
- 配置风暴控制
- 流量抑制及风暴控制配置举例
  - 配置流量抑制示例
  - 配置风暴控制示例
ARP安全配置
- ARP安全简介
- ARP安全原理描述
- ARP安全应用场景
  - 防ARP泛洪攻击
  - 防ARP欺骗攻击
- ARP安全配置注意事项
- ARP安全缺省配置
- 配置防ARP泛洪攻击
- 配置防ARP欺骗攻击
- 维护ARP安全
- ARP安全配置举例
  - 配置ARP安全综合功能示例
  - 配置防止ARP中间人攻击示例
端口安全配置
- 端口安全简介
- 端口安全原理描述
- 端口安全应用场景
- 端口安全配置注意事项
- 端口安全缺省配置
- 配置端口安全
- 端口安全配置举例
  - 配置端口安全示例
MACsec配置
- MACsec简介
- MACsec原理描述
- MACsec应用场景
- MACsec缺省配置
- MACsec配置注意事项
- 配置MACsec
- 维护MACsec
  - 查看MACsec统计信息
  - 清除MACsec统计信息
- MACsec配置举例
  - 配置点到点的MACsec示例
DHCP Snooping配置
- DHCP Snooping简介
- DHCP Snooping原理描述
  - DHCP Snooping的基本原理
  - DHCP Snooping支持的Option82功能
- DHCP Snooping应用场景
- DHCP Snooping配置注意事项
- DHCP Snooping缺省配置
- 配置DHCP Snooping的基本功能
- 配置DHCP Snooping的攻击防范功能
- 配置在DHCP报文中添加Option82字段
- 维护DHCP Snooping
- DHCP Snooping配置举例
  - 配置DHCP Snooping的攻击防范功能示例
- DHCP Snooping常见配置错误
  - DHCP Snooping导致用户无法上线
IPSG配置
- IPSG概述
- IPSG配置注意事项
- IPSG缺省配置
- 配置IPSG
- 维护IPSG
  - 查看丢弃的IP报文统计信息
  - 清除丢弃的IP报文统计信息
- IPSG配置举例
  - 配置通过IPSG功能对IP报文的接口+IP+MAC信息进行匹配检查示例
URPF配置
- URPF概述
- URPF原理描述
- URPF应用场景
- URPF配置注意事项
- URPF缺省配置
- 配置URPF
- URPF配置举例
  - 配置URPF功能示例（CE12800）
  - 配置URPF功能示例（CE12800E）
SSL配置
- SSL简介
- SSL原理描述
- SSL应用场景
  - SSL在信息中心中的应用
- SSL配置注意事项
- 配置SSL
  - 配置SSL策略
  - 应用SSL策略
- SSL配置举例
  - 配置向日志主机输出SSL加密后的Log信息示例
Keychain配置
- Keychain简介
- Keychain原理描述
- Keychain应用场景
- Keychain配置注意事项
- 配置Keychain
- Keychain配置举例
  - 配置RIP应用Keychain认证示例
  - 配置BGP应用Keychain认证示例
FIPS配置
- FIPS概述
- 配置FIPS模式
业务与管理隔离配置
安全风险查询
设置系统主密钥

评分并提供意见反馈 :

华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言，希望能帮助您更容易理解此文档的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。华为对于翻译的准确性不承担任何责任，并建议您参考英文文档（已提供链接）。

应用高级ACL配置流分类示例

组网需求

如图3-6所示，公司企业网通过Switch实现各部门之间的互连。要求正确配置ACL，禁止研发部门和市场部门在上班时间（8:00至17:30）访问工资查询服务器（IP地址为10.164.9.9），而总裁办公室不受限制，可以随时访问。

图3-6 应用高级ACL配置流分类组网图

配置思路

采用如下的思路配置ACL：

配置接口IP地址。
配置时间段。
配置ACL。
配置流分类。
配置流行为。
配置流策略。
在接口上应用流策略。

操作步骤

配置接口加入VLAN，并配置VLANIF接口的IP地址
# 规划10GE1/0/1～10GE1/0/3分别加入VLAN10、20、30，10GE2/0/1加入VLAN100。VLANIF接口的地址取所在网段的第一个IP地址。下面配置以10GE1/0/1和VLANIF 10接口为例，接口10GE1/0/2、10GE1/0/3和10GE2/0/1的配置与10GE1/0/1接口类似，接口VLANIF 20、VLANIF 30和VLANIF 100的配置与接口VLANIF 10类似，不再赘述。
```
<HUAWEI> system-view
[~HUAWEI] sysname Switch
[*HUAWEI] commit
[~Switch] vlan batch 10 20 30 100
[*Switch] interface 10ge 1/0/1
[*Switch-10GE1/0/1] port link-type access
[*Switch-10GE1/0/1] port default vlan 10
[*Switch-10GE1/0/1] commit
[~Switch-10GE1/0/1] quit
[~Switch] interface vlanif 10
[*Switch-Vlanif10] ip address 10.164.1.1 255.255.255.0
[*Switch-Vlanif10] quit
```
配置时间段
# 配置8:00至17:30的周期时间段。
```
[*Switch] time-range satime 8:00 to 17:30 working-day
```

配置ACL

# 配置市场部门到工资查询服务器的访问规则。

[*Switch] acl 3002
[*Switch-acl4-advance-3002] rule permit ip source 10.164.2.0 0.0.0.255 destination 10.164.9.9 0.0.0.0 time-range satime
[*Switch-acl4-advance-3002] commit
[~Switch-acl4-advance-3002] quit

# 配置研发部门到工资查询服务器的访问规则。

[~Switch] acl 3003
[*Switch-acl4-advance-3003] rule permit ip source 10.164.3.0 0.0.0.255 destination 10.164.9.9 0.0.0.0 time-range satime
[*Switch-acl4-advance-3003] commit
[~Switch-acl4-advance-3003] quit

配置基于ACL的流分类

# 配置流分类c_market，对匹配ACL 3002的报文进行分类。

[~Switch] traffic classifier c_market
[*Switch-classifier-c_market] if-match acl 3002
[*Switch-classifier-c_market] commit
[~Switch-classifier-c_market] quit

# 配置流分类c_rd，对匹配ACL 3003的报文进行分类。

[~Switch] traffic classifier c_rd
[*Switch-classifier-c_rd] if-match acl 3003
[*Switch-classifier-c_rd] commit
[~Switch-classifier-c_rd] quit

配置流行为

# 配置流行为b_market，动作为拒绝报文通过。

[~Switch] traffic behavior b_market
[*Switch-behavior-b_market] deny
[*Switch-behavior-b_market] commit
[~Switch-behavior-b_market] quit

# 配置流行为b_rd，动作为拒绝报文通过。

[~Switch] traffic behavior b_rd
[*Switch-behavior-b_rd] deny
[*Switch-behavior-b_rd] commit
[~Switch-behavior-b_rd] quit

配置流策略

# 配置流策略p_market，将流分类c_market与流行为b_market关联。

[~Switch] traffic policy p_market
[*Switch-trafficpolicy-p_market] classifier c_market behavior b_market
[*Switch-trafficpolicy-p_market] commit
[~Switch-trafficpolicy-p_market] quit

# 配置流策略p_rd，将流分类c_rd与流行为b_rd关联。

[~Switch] traffic policy p_rd
[*Switch-trafficpolicy-p_rd] classifier c_rd behavior b_rd
[*Switch-trafficpolicy-p_rd] commit
[~Switch-trafficpolicy-p_rd] quit

应用流策略

# 将流策略p_market应用到10GE1/0/2接口。

[~Switch] interface 10ge 1/0/2
[~Switch-10GE1/0/2] traffic-policy p_market inbound
[*Switch-10GE1/0/2] commit
[~Switch-10GE1/0/2] quit

# 将流策略p_rd应用到10GE1/0/3接口。

[~Switch] interface 10ge 1/0/3
[~Switch-10GE1/0/3] traffic-policy p_rd inbound
[*Switch-10GE1/0/3] commit
[~Switch-10GE1/0/3] quit

验证配置结果

# 查看ACL规则的配置信息。

[~Switch] display acl all
 Total nonempty ACL number is 2                                                 
                                                                                
Advanced ACL 3002, 1 rule                                                       
ACL's step is 5                                                                 
 rule 5 permit ip source 10.164.2.0 0.0.0.255 destination 10.164.9.9 0 time-range satime(Inactive) (0 times matched)            
                                                                                
Advanced ACL 3003, 1 rule                                                       
ACL's step is 5                                                                 
 rule 5 permit ip source 10.164.3.0 0.0.0.255 destination 10.164.9.9 0 time-range satime(Inactive) (0 times matched)

# 查看流分类的配置信息。

[~Switch] display traffic classifier
  Traffic Classifier Information: 
    Classifier: c_market                                                        
      Type: OR                                                              
      Rule(s):                                                                  
        if-match acl 3002                                                       
                                                                                
    Classifier: c_rd                                                            
      Type:OR                                                              
      Rule(s):                                                                  
        if-match acl 3003                                                       
                                                                                
Total classifier number is 2

# 查看流策略的配置信息。

[~Switch] display traffic policy
   Traffic Policy Information:                                                  
    Policy: p_market                                                            
      Classifier: c_market                                                      
        Type: OR                                                            
      Behavior: b_market                                                        
        Deny                                                                    
                                                                                
    Policy: p_rd                                                                
      Classifier: c_rd                                                          
        Type: OR                                                            
      Behavior: b_rd                                                            
        Deny                                                                    
                                                                                
Total policy number is 2

[~Switch] display traffic-policy applied-record
Total records : 2                                                                                                                   
-------------------------------------------------------------------------------                                                     
Policy Type/Name                   Apply Parameter           Slot     State                                                           
-------------------------------------------------------------------------------                                                     
p_market                         10GE1/0/2(IN)            1     success                                                         
-------------------------------------------------------------------------------                                                     
p_rd                             10GE1/0/3(IN)            1     success                                                         
-------------------------------------------------------------------------------

配置文件

# Switch的配置文件

#
sysname Switch
#
vlan batch 10 20 30 100 
#
time-range satime 08:00 to 17:30 working-day
#
acl number 3002
 rule 5 permit ip source 10.164.2.0 0.0.0.255 destination 10.164.9.9 0 time-range satime
#
acl number 3003
 rule 5 permit ip source 10.164.3.0 0.0.0.255 destination 10.164.9.9 0 time-range satime
#
traffic classifier c_market type or
 if-match acl 3002
#
traffic classifier c_rd type or
 if-match acl 3003
#
traffic behavior b_market
 deny
#
traffic behavior b_rd
 deny
#
traffic policy p_market
 classifier c_market behavior b_market precedence 5
#
traffic policy p_rd
 classifier c_rd behavior b_rd precedence 5
#
interface Vlanif10
 ip address 10.164.1.1 255.255.255.0
#
interface Vlanif20
 ip address 10.164.2.1 255.255.255.0
#
interface Vlanif30
 ip address 10.164.3.1 255.255.255.0
#
interface Vlanif100
 ip address 10.164.9.1 255.255.255.0  
#
interface 10GE1/0/1
 port default vlan 10
#
interface 10GE1/0/2
 port default vlan 20
 traffic-policy p_market inbound
#
interface 10GE1/0/3
 port default vlan 30
 traffic-policy p_rd inbound  
#
interface 10GE2/0/1
 port default vlan 100
#
return

翻译

English

下载文档

更新时间：2021-09-17

文档编号：EDOC1100075484

浏览量：50063

下载量：345

平均得分:

本文档适用于这些产品

数字签名

数字签名验证工具

组网需求

配置思路

操作步骤

配置文件

相关版本

相关文档

数字签名