01-S12500_报文过滤典型配置举例
本章节下载: 01-S12500_报文过滤典型配置举例 (124.69 KB)
本文档介绍了报文过滤的配置举例。
报文过滤功能是通过ACL(Access Control List,访问控制列表)实现对数据包的过滤。一般需要对数据包的源地址、目的地址、源端口号和目的端口号等根据设定的ACL规则进行比较,根据比较的结果决定对数据包进行转发或者丢弃。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文假设您已了解报文过滤特性。
如图1所示,在一个IPv4网络中,某公司通过Device的接口GE4/0/1连接外网,Device与内部网络通过接口GE4/0/2连接。公司内部对外提供FTP服务(TCP端口号21),希望通过配置报文过滤功能实现以下要求:外部网络只有特定用户(IP地址为20.3.3.3)可以访问内部FTP服务器,其余访问内部FTP服务器的流量均无法通过。
本举例是在S12500-CMW710-R7129版本上进行配置和验证的。
# 根据图1配置Device各端口的VLAN、IP地址等,具体配置过程略。
# 配置允许特定用户但拒绝其它用户访问FTP服务器的IPv4高级ACL规则。
<Device> system-view
[Device] acl number 3000
[Device-acl-adv-3000] rule permit tcp destination-port eq 21 source 20.3.3.3 0 destination 129.1.1.2 0
[Device-acl-adv-3000] rule deny tcp destination-port eq 21
[Device-acl-adv-3000] quit
# 应用IPv4高级ACL 3000对Device上接口GE4/0/1收到的IPv4报文进行过滤。
[Device] interface GigabitEthernet 4/0/1
[Device-GigabitEthernet4/0/1] undo shutdown
[Device-GigabitEthernet4/0/1] packet-filter 3000 inbound
[Device-GigabitEthernet4/0/1] quit
# 查看Device端口GE4/0/1上所配置的报文过滤策略。
[Device] display packet-filter interface GigabitEthernet 4/0/1
Interface: GigabitEthernet4/0/1
In-bound policy:
ACL 3000
#
vlan 10
#
vlan 20
#
interface Vlan-interface10
ip address 129.1.1.1 255.255.255.0
#
interface Vlan-interface20
ip address 20.1.1.1 255.255.255.0
#
interface GigabitEthernet4/0/1
port link-mode bridge
port access vlan 20
packet-filter 3000 inbound
#
interface GigabitEthernet4/0/2
port link-mode bridge
port access vlan 10
#
acl number 3000
rule 0 permit tcp source 20.3.3.3 0 destination 129.1.1.2 0 destination-port eq ftp
rule 5 deny tcp destination-port eq ftp
#
· 《H3C S12500系列路由交换机 ACL和QoS配置指导》中的“ACL”
· 《H3C S12500系列路由交换机 ACL和QoS命令参考》中的“ACL”
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!