国家 / 地区

H3C MSR系列路由器典型配置举例(V5)-6W100

72-MSR系列路由器限制某个源MAC只允许访问网关不允许访问外网功能的配置举例

本章节下载  (129.42 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/MSR/MSR_50/Configure/Typical_Configuration_Example/H3C_MSR_(V5)-6W100/201401/812783_30005_0.htm

72-MSR系列路由器限制某个源MAC只允许访问网关不允许访问外网功能的配置举例

MSR系列路由器限制某个源MAC只允许访问网关不允许访问外网功能的典型配置举例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

H3C_彩色.emf

目  录

1 简介

2 配置前提

3 配置举例

3.1 组网需求

3.2 配置思路

3.3 使用版本

3.4 配置步骤

3.5 验证配置

3.6 配置文件

4 相关资料


1  简介

本文档介绍使用QoS策略实现限制主机访问Internet的典型案例。

2  配置前提

本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解QoS的特性。

3  配置举例

3.1  组网需求

图1所示,主机通过路由器Router访问因特网Internet,网关设在Router上。

现要求通过在Router配置QoS策略以实现:

·     主机Host A,Host B和Host C都能访问网关。

·     只有Host A能访问Internet,Host B和Host C不能访问Internet。

图1 MSR路由器限制主机只能访问网关不能访问因特网功能组网图

 

3.2  配置思路

为了实现组网需求中实现的QoS策略,需要在配置具体的流分类和流行为,绑定到QoS策略上,并应用在路由器接口上。

3.3  使用版本

本举例是在Release 2311版本上进行配置和验证的。

3.4  配置步骤

# 配置Router的接口地址。

<Router> system-view

[Router] interface gigabitethernet 0/0

[Router-GigabitEthernet 0/0] port link-mode route

[Router-GigabitEthernet 0/0] ip address 10.1.1.1 255.255.255.0

[Router-GigabitEthernet 0/0] quit

[Router] interface gigabitethernet 0/1

[Router-GigabitEthernet 0/1] port link-mode route

[Router-GigabitEthernet 0/1] ip address 10.1.2.2 255.255.255.0

[Router-GigabitEthernet 0/1] quit

# 配置OSPF协议使网络互通。

[Router] ospf 1

[Router-ospf-1] area 0.0.0.0

[Router-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255

[Router-ospf-1-area-0.0.0.0] network 10.1.2.0 0.0.0.255

[Router-ospf-1-area-0.0.0.0] quit

[Router-ospf-1] quit

# 创建IPv4高级ACL 3000,定义规则0,允许IP报文通过,访问目的地址10.1.1.1/24。

[Router] acl number 3000

[Router-acl-adv-3000] rule 0 permit ip destination 10.1.1.1 255.255.255.0

[Router-acl-adv-3000] quit

# 定义流分类gw,匹配IPv4 ACL 3000的报文。

[Router] traffic classifier gw

[Router-classifier-gw] if-match acl 3000

[Router-classifier-gw] quit

# 定义流分类mac,匹配源MAC地址为Host B的MAC地址0015-c50d-2222或Host C 的MAC地址0015-c50d-3333的报文。

[Router] traffic classifier mac operator or

[Router-classifier-mac] if-match source-mac 0015-c50d-2222

[Router-classifier-mac] if-match source-mac 0015-c50d-3333

[Router-classifier-mac] quit

# 定义一个名为permit的流行为,配置允许数据包的过滤动作。

[Router] traffic behavior permit

[Router-behavior-permit] filter permit

[Router-behavior-permit] quit

# 定义一个名为deny的流行为,配置丢弃数据包的过滤动作。

[Router] traffic behavior deny

[Router-behavior-deny] filter deny

[Router-behavior-deny] quit

# 定义QoS策略为myqos,在流分类gw指定采用流行为permit,流分类mac指定采用流行为deny。

[Router] qos policy myqos

[Router-qospolicy-myqos] classifier gw behavior permit

[Router-qospolicy-myqos] classifier mac behavior deny

[Router-qospolicy-myqos] quit

# 将QoS策略myqos应用到Router的接口GigabitEthernet0/0的入方向。

[Router] interface gigabitethernet 0/0

[Router-GigabitEthernet 0/0] qos apply policy myqos inbound

[Router-GigabitEthernet 0/0] quit

3.5  验证配置

# 主机Host A ping 网关IP 地址10.1.1.1/24,能够ping通。

C:\Documents and Settings\Administrator> ping 10.1.1.1

 

Pinging 10.1.1.1 with 32 bytes of data:

 Reply from  10.1.1.1: bytes=32  time=2 ms  ttl=254

 Reply from  10.1.1.1: bytes=32  time=1 ms  ttl=254

 Reply from  10.1.1.1: bytes=32  time=1 ms  ttl=254

 Reply from  10.1.1.1: bytes=32  time=1 ms  ttl=254

 

Ping statistics for 10.1.1.1:

    Packets: Sent =4, Received = 4,Lost = 0 (0% loss)

Approximate round trip times in milli-seconds:

    Minimum = 0ms, Maximum = 2ms, Average = 1ms

# 主机Host B和Host C ping 网关IP 地址10.1.1.1/24,都能够ping通。

C:\Documents and Settings\Administrator> ping 10.1.1.1

 

Pinging 10.1.1.1 with 32 bytes of data:

 Reply from  10.1.1.1: bytes=32  time=2 ms  ttl=254

 Reply from  10.1.1.1: bytes=32  time=1 ms  ttl=254

 Reply from  10.1.1.1: bytes=32  time=1 ms  ttl=254

 Reply from  10.1.1.1: bytes=32  time=1 ms  ttl=254

 

Ping statistics for 10.1.1.1:

    Packets: Sent =4, Received = 4,Lost = 0 (0% loss)

Approximate round trip times in milli-seconds:

    Minimum = 0ms, Maximum = 2ms, Average = 1ms

# 主机Host A ping因特网Internet IP地址10.1.2.1/24,能够ping通。

C:\Documents and Settings\Administrator> ping 10.1.2.1

 

Pinging 10.1.2.1 with 32 bytes of data:

 Reply from  10.1.2.1: bytes=32  time=2 ms  ttl=254

 Reply from  10.1.2.1: bytes=32  time=1 ms  ttl=254

 Reply from  10.1.2.1: bytes=32  time=1 ms  ttl=254

 Reply from  10.1.2.1: bytes=32  time=1 ms  ttl=254

 

Ping statistics for 10.1.2.1:

    Packets: Sent =4, Received = 4,Lost = 0 (0% loss)

Approximate round trip times in milli-seconds:

    Minimum = 0ms, Maximum = 2ms, Average = 1ms

# 主机Host B和Host C ping因特网Internet IP地址10.1.2.1/24,都不能ping通。

C:\Documents and Settings\Administrator> ping 10.1.2.1

 

Pinging 10.1.2.1 with 32 bytes of data:

 

 Request time out

 Request time out

 Request time out

 Request time out

 

Ping statistics for 10.1.2.1:

    Packets: Sent =4, Received = 0,Lost = 4 (100% loss)

3.6  配置文件

#

acl number 3000

 rule 0 permit ip destination 10.1.1.1 0

#

traffic classifier gw operator and

 if-match acl 3000

traffic classifier mac operator or

 if-match source-mac 0015-c50d-2222

 if-match source-mac 0015-c50d-3333

#

traffic behavior permit

 filter permit

traffic behavior deny

 filter deny

#

qos policy myqos

 classifier gw behavior permit

 classifier mac behavior deny

#

interface gigabitEthernet0/0

 port link-mode route

 ip address 10.1.1.1 255.255.255.0

 qos apply policy myqos inbound

#

interface gigabitEthernet0/1

 port link-mode route

 ip address 10.1.2.2 255.255.255.0

#

ospf 1

 area 0.0.0.0

  network 10.1.1.0 0.0.0.255

  network 10.1.2.0 0.0.0.255

#

4  相关资料

·     H3C MSR 系列路由器 命令参考(V5)-R2311

·     H3C MSR 系列路由器 配置指导(V5)-R2311

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!