评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置应用基本ACL管理设备访问权限示例
本举例介绍应用基本ACL管理设备访问权限的配置过程。
组网需求
某公司有两个部门,只允许A部门访问人力资源部,不允许B部门访问人力资源部。同时两个部门之间不允许互相访问。
如图3-6所示,PE代表人力资源的设备,在PE上绑定两个VPN实例,CE1代表部门A属于VPN-A,CE2代表部门B属于VPN-B;VPN-A使用的VPN-target属性为111:1,VPN-B使用的VPN-target属性为222:2。在PE设备上配置ACL规则,允许属于VPN-A的用户通过telnet方式登录PE设备,拒绝属于VPN-B的用户登录PE设备。实现只允许A部门访问人力资源部,不允许B部门访问人力资源部,同时两个部门之间不允许互相访问。
配置思路
配置ACL的思路如下:
配置VPN实例,规划不同部门所属的VPN。
定义ACL的具体规则,规划属于不同VPN用户对PE设备的访问权限。
配置应用ACL,实现控制不同VPN用户对PE设备具有不同的访问权限。
操作步骤
- 在PE设备上配置VPN实例
# 配置VPN-A。
<HUAWEI> system-view[~HUAWEI] sysname PE
[*HUAWEI] commit
[~PE] ip vpn-instance vpna[*PE-vpn-instance-vpna] ipv4-family[*PE-vpn-instance-vpna-af-ipv4] route-distinguisher 100:1[*PE-vpn-instance-vpna-af-ipv4] vpn-target 111:1 both[*PE-vpn-instance-vpna-af-ipv4] commit[~PE-vpn-instance-vpna-af-ipv4] quit[~PE-vpn-instance-vpna] quit[~PE] interface gigabitethernet 0/1/0
[~PE-GigabitEthernet0/1/0] ip binding vpn-instance vpna
[*PE-GigabitEthernet0/1/0] ip address 10.1.1.1 24
[*PE-GigabitEthernet0/1/0] commit
[~PE-GigabitEthernet0/1/0] quit
# 配置VPN-B。
[~PE] ip vpn-instance vpnb[*PE-vpn-instance-vpnb] ipv4-family[*PE-vpn-instance-vpnb-af-ipv4] route-distinguisher 100:2[*PE-vpn-instance-vpnb-af-ipv4] vpn-target 222:2 both[*PE-vpn-instance-vpnb-af-ipv4] commit[~PE-vpn-instance-vpnb-af-ipv4] quit[~PE-vpn-instance-vpnb] quit[~PE] interface gigabitethernet 0/2/0
[~PE-GigabitEthernet0/2/0] ip binding vpn-instance vpnb
[*PE-GigabitEthernet0/2/0] ip address 10.2.1.1 24
[*PE-GigabitEthernet0/2/0] commit
[~PE-GigabitEthernet0/2/0] quit
- PE设备上配置一个ACL规则,用于允许属于VPN-A的用户通过telnet方式登录PE设备,拒绝属于VPN-B的用户登录PE设备
[~PE] acl number 2001[*PE-acl4-basic-2001] rule permit vpn-instance vpna[*PE-acl4-basic-2001] rule deny vpn-instance vpnb[*PE-acl4-basic-2001] commit[~PE-acl4-basic-2001] quit - 在PE设备上配置采用ACL方式控制用户Telnet PE设备
[~PE] user-interface vty 0 4[~PE-ui-vty0-4] authentication-mode password[*PE-ui-vty0-4] set authentication passwordPlease configure the login password (8-16) Enter Password: Confirm Password:
[*PE-ui-vty0-4] acl 2001 inbound[*PE-ui-vty0-4] commit - 在CE1和CE2上根据图3-6所示配置IP地址。具体配置过程省略,请参考配置文件。
- 检查配置结果
# 从CE1 Telnet到PE设备上。
<CE1> telnet vpn-instance vpna 10.1.1.1
Trying 10.1.1.1 ... Press CTRL+K to abort Connected to 10.1.1.1 ... Info: The max number of VTY users is 10, and the number of current VTY users on line is 1. <PE>可以看出CE1设备可以通过telnet方式登录到PE设备上。
# 从CE2 Telnet到PE设备上。
<CE2> telnet vpn-instance vpnb 10.2.1.1
Trying 10.2.1.1 ... Press CTRL+K to abort Error: Failed to connect to the remote host.Press CTRL+K to abort
可以看出CE2设备不可以通过telnet方式登录到PE设备上。
# 从CE1 Telnet到CE2设备上。
<CE1> telnet vpn-instance vpnb 10.2.1.2
Trying 10.2.1.2 ... Press CTRL+K to abort Error: Failed to connect to the remote host.Press CTRL+K to abort
可以看出CE1设备不可以通过telnet方式登录到CE2设备上。
配置文件
PE的配置文件
# sysname PE # ip vpn-instance vpna route-distinguisher 100:1 vpn-target 111:1 export-extcommunity vpn-target 111:1 import-extcommunity ip vpn-instance vpnb route-distinguisher 100:2 vpn-target 222:2 export-extcommunity vpn-target 222:2 import-extcommunity # acl number 2001 rule 5 permit vpn-instance vpna rule 10 deny vpn-instance vpnb # interface GigabitEthernet0/1/0 undo shutdown ip binding vpn-instance vpna ip address 10.1.1.1 255.255.255.0 # interface GigabitEthernet0/2/0 undo shutdown ip binding vpn-instance vpnb ip address 10.2.1.1 255.255.255.0 # user-interface con 0 user-interface vty 0 4 acl 2001 inbound authentication-mode password user privilege level 15 set authentication password cipher $1c$`g=H/qo%;7$b6Za%2'[D!0blsOXF=.3QCNC-f)co,[aeE.`e`-<$ user-interface vty 16 20 # return
CE1的配置文件
# sysname CE1 # ip vpn-instance vpna route-distinguisher 100:1 vpn-target 111:1 export-extcommunity vpn-target 111:1 import-extcommunity # interface GigabitEthernet0/1/0 undo shutdown ip binding vpn-instance vpna ip address 10.1.1.2 255.255.255.0 # user-interface con 0 user-interface vty 0 4 user-interface vty 16 20 # returnCE2的配置文件
# sysname CE2 # ip vpn-instance vpnb route-distinguisher 100:2 vpn-target 222:2 export-extcommunity vpn-target 222:2 import-extcommunity # interface GigabitEthernet0/1/0 undo shutdown ip binding vpn-instance vpnb ip address 10.2.1.2 255.255.255.0 # user-interface con 0 user-interface vty 0 4 user-interface vty 16 20 # return
