评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置QoS限制内网不同网段之间互访的示例
组网需求
如图3-285所示,Router做为企业的出口网关通过GE0/0/1接口连接公网,GE0/0/1接口通过静态分配获得IP地址10.1.1.110/24,网关地址是10.1.1.1,DNS服务器地址是203.10.1.150和203.1.1.148,内网用户通过Router上部署的NAT业务进行地址转换访问公网。现要求192.168.10.0/24网段和192.168.20.0/24网段之间不能相互访问,两个网段分别可以访问公网。
配置思路
采用如下的配置思路:
- 完成基本上网配置(如果已完成基本上网配置,只关注流策略配置,可忽略该步骤直接参考步骤2的流策略配置)。
配置GE0/0/1接口IP地址和网关地址等参数。
配置VLAN10并创建VLANIF10接口作为网段192.168.10.0/24的网关,配置VLAN20并创建VLANIF20接口作为网段192.168.20.0/24的网关。将与交换机相连的二层以太网接口Eth0/0/2以Trunk类型加入VLAN10和VLAN20。
- 在VLANIF接口上配置流策略实现互访限制需求。策略中的指定流分类和流行为,配置流分类区分内网互访的流量,配置流行为对内网互访的流量做限制。
操作步骤
- 配置GE0/0/1接口,并将二层以太网接口Eth0/0/2加入VLAN并创建VLANIF接口。
- 配置流策略,限制网段间互访。
- 在Web界面依次单击,在“高级ACL配置”界面单击“新建”按钮,配置ACL规则,用于在流分类中识别内网互访流量。配置匹配内网互访的ACL规则,如图3-288所示。
在Web界面依次单击,在“策略参数配置”界面单击“新建”按钮,填写策略名称,然后在页面中配置流分类和流量过滤行为。
配置用于VLANIF10接口上内网互访的流分类和流行为,如图3-289所示。“匹配IPv4 ACL”选择前面配置的内网互访ACL规则“innerFlow”,在“高级分类规则”中的“流量过滤”选择“拒绝”,依次单击“应用”和“确定”,完成流策略配置。- 在Web界面依次单击“QoS > 流量管理”,在“策略应用”界面单击“新建”按钮,将流策略应用在对应的VLANIF10接口,配置192.168.10.0/24网段和192.168.20.0/24网段之间不能互访。图3-290 入方向应用流策略图3-291 出方向应用流策略
- 在Web界面依次单击,在“高级ACL配置”界面单击“新建”按钮,配置ACL规则,用于在流分类中识别内网互访流量。
配置注意事项
- 在网关设备上只能限制不同网段之间互访。因为同一网段内的互访报文只需要通过交换机转发实现,不会经过网关设备处理,所以如果要限制同一网段内不同主机之间互访,只能在网关下挂的交换机上做相应配置,实现限制同一网段内不同主机之间互访。
- 若登录的是易维版Web网管,如图3-292所示,登录后需要单击右上角的切换按钮
,切换到经典版Web页面进行配置。
,切换到经典版Web页面进行配置。
