组网需求
如图所示,某公司通过SwitchC实现各部门之间的互连。为方便管理网络,管理员为公司的总裁办公室和员工办公室规划了两个网段的IP地址。同时为了隔离广播域,又将两个部门划分在不同VLAN之中。现要求总裁办公室能够访问员工办公室,但员工办公室不能访问总裁办公室,防止公司机密泄露。
配置思路
1.配置高级ACL和基于ACL的流分类,通过限制ICMP和TCP业务的方式实现总裁办公室到员工办公室的单向访问:
TCP业务:允许员工办公室到总裁办公室的syn+ack报文通过,即允许对总裁办公室发起的TCP连接进行回应;拒绝员工办公室到总裁办公室的syn请求报文通过,防止员工办公室主动发起TCP连接。
ICMP业务:拒绝员工办公室到总裁办公室的echo请求报文通过,防止员工办公室主动发起ping连通性测试。
2.配置流行为,对匹配上ACL的报文不作任何动作,按原来策略转发。
3.配置并应用流策略,使ACL和流行为生效。
操作步骤
1.配置接口所属的VLAN以及接口的IP地址
# 创建VLAN10和VLAN20。
<HUAWEI> system-view
[HUAWEI] sysname SwitchC
[SwitchC] vlan batch 10 20
# 配置SwitchC的接口GE1/0/1和GE1/0/2为trunk类型接口,并分别加入VLAN10和VLAN20。
[SwitchC] interface gigabitethernet 1/0/1
[SwitchC-GigabitEthernet1/0/1] port link-type trunk
[SwitchC-GigabitEthernet1/0/1] port trunk allow-pass vlan 10
[SwitchC-GigabitEthernet1/0/1] quit
[SwitchC] interface gigabitethernet 1/0/2
[SwitchC-GigabitEthernet1/0/2] port link-type trunk
[SwitchC-GigabitEthernet1/0/2] port trunk allow-pass vlan 20
[SwitchC-GigabitEthernet1/0/2] quit
# 创建VLANIF10和VLANIF20,并配置各VLANIF接口的IP地址。
[SwitchC] interface vlanif 10
[SwitchC-Vlanif10] ip address 10.1.1.1 24
[SwitchC-Vlanif10] quit
[SwitchC] interface vlanif 20
[SwitchC-Vlanif20] ip address 10.1.2.1 24
[SwitchC-Vlanif20] quit
2.配置ACL
# 创建高级ACL 3001并配置ACL规则。
[SwitchC] acl 3001
[SwitchC-acl-adv-3001] rule permit tcp source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 tcp-flag syn ack
[SwitchC-acl-adv-3001] rule deny tcp source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 tcp-flag syn
[SwitchC-acl-adv-3001] rule deny icmp source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 icmp-type echo
[SwitchC-acl-adv-3001] quit
3.配置基于高级ACL的流分类
# 配置流分类tc1,对匹配ACL 3001进行分类。
[SwitchC] traffic classifier tc1
[SwitchC-classifier-tc1] if-match acl 3001
[SwitchC-classifier-tc1] quit
4.配置流行为
# 配置流行为tb1。
[SwitchC] traffic behavior tb1
[SwitchC-behavior-tb1] permit
[SwitchC-behavior-tb1] quit
5.配置流策略
# 定义流策略,将流分类与流行为关联。
[SwitchC] traffic policy tp1
[SwitchC-trafficpolicy-tp1] classifier tc1 behavior tb1
[SwitchC-trafficpolicy-tp1] quit
6.在接口下应用流策略
# 在接口GE1/0/2的入方向应用流策略。
[SwitchC] interface gigabitethernet 1/0/2
[SwitchC-GigabitEthernet1/0/2] traffic-policy tp1 inbound
[SwitchC-GigabitEthernet1/0/2] quit
7.验证配置结果
# 查看ACL规则的配置信息。
[SwitchC] display acl 3001
Advanced ACL 3001, 3 rules
Acl's step is 5
rule 5 permit tcp source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 tcp-flag ack syn
rule 10 deny tcp source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 tcp-flag syn
rule 15 deny icmp source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 icmp-type echo
# 查看流分类的配置信息。
[SwitchC] display traffic classifier user-defined
User Defined Classifier Information:
Classifier: tc1
Precedence: 5
Operator: OR
Rule(s) : if-match acl 3001
Total classifier number is 1
# 查看流策略的配置信息。
[SwitchC] display traffic policy user-defined tp1
User Defined Traffic Policy Information:
Policy: tp1
Classifier: tc1
Operator: OR
Behavior: tb1
Permit
# 总裁办公室访问员工办公室,但员工办公室不能访问总裁办公室。
配置文件
SwitchC的配置文件
#
sysname SwitchC
#
vlan batch 10 20
#
acl number 3001
rule 5 permit tcp source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 tcp-flag ack syn
rule 10 deny tcp source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 tcp-flag syn
rule 15 deny icmp source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 icmp-type echo
#
traffic classifier tc1 operator or precedence 5
if-match acl 3001
#
traffic behavior tb1
permit
#
traffic policy tp1 match-order config
classifier tc1 behavior tb1
#
interface Vlanif10
ip address 10.1.1.1 255.255.255.0
#
interface Vlanif20
ip address 10.1.2.1 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 10
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk allow-pass vlan 20
traffic-policy tp1 inbound
#
return