登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C园区盒式交换机 CLI快速配置指南-6W103

  • 发布时间:2024/3/18 22:11:13
  • 浏览量:
  • 下载量:

23-报文过滤快速配置指南

本章节下载  (183.78 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Switches/00-Public/Quick_Starts/Quick_Configuration/H3C_CLI-Long/202303/1816257_30005_0.htm

23-报文过滤快速配置指南

报文过滤配置快速配置指南

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。

目  录

1 配置报文过滤

1.1 简介

1.2 组网需求

1.3 配置步骤

1.4 验证配置

1.5 配置文件

1.6 相关资料

 

1  配置报文过滤

1.1  简介

本案例介绍报文过滤的配置方法。

1.2  组网需求

1.2  图1所示,某公司的网络分成管理部、研发部和服务器三个区域,通过Device设备与Internet连接。现要求通过ACL实现:

·     管理部任意时间都可以访问Internet和服务器,但不能访问研发部;

·     研发部只能访问服务器,不能访问Internet和管理部。

图1 通过IP地址过滤流量配置组网图

 

1.3  配置步骤

(1)     配置管理部的网络权限

# 创建IPv4高级ACL 3000。

<Device> system-view

[Device] acl advanced 3000

# 创建规则,过滤目的地址为10.1.2.0/24网段的报文。

[Device-acl-ipv4-adv-3000] rule deny ip destination 10.1.2.0 0.0.0.255

[Device-acl-ipv4-adv-3000] quit

# 配置包过滤功能,应用IPv4高级ACL 3000对端口GigabitEthernet1/0/4收到的IP报文进行过滤。

[Device] interface gigabitethernet 1/0/4

[Device-GigabitEthernet1/0/4] packet-filter 3000 inbound

[Device-GigabitEthernet1/0/4] quit

(2)     配置研发部的网络权限

# 创建IPv4高级ACL 3001。

[Device] acl advanced 3001

# 创建规则,允许目的地址为10.2.1.0/24网段的报文通过。

[Device-acl-ipv4-adv-3001] rule permit ip destination 10.2.1.0 0.0.0.255

# 创建规则,不允许目的地址为其他网段的报文通过。

[Device-acl-ipv4-adv-3001] rule deny ip

# 配置包过滤功能,应用IPv4高级ACL 3001对端口GigabitEthernet1/0/3收到的IP报文进行过滤。

[Device] interface gigabitethernet 1/0/3

[Device-GigabitEthernet1/0/3] packet-filter 3001 inbound

[Device-GigabitEthernet1/0/3] quit

1.4  验证配置

# 执行display packet-filter命令查看包过滤功能的应用状态。

[Device] display packet-filter interface inbound

Interface: GigabitEthernet1/0/3

 Inbound policy:

  IPv4 ACL 3001

Interface: GigabitEthernet1/0/4

 Inbound policy:

  IPv4 ACL 3000

上述信息显示GigabitEthernet1/0/3和GigabitEthernet1/0/4端口上已经正确应用了包过滤功能。

# 从研发部的某台电脑上ping Internet上某个网站,结果无法ping通。

C:\>ping www.google.com

 

Pinging www.google.com [172.217.194.99] with 32 bytes of data:

 

Request timed out.

Request timed out.

Request timed out.

Request timed out.

 

Ping statistics for 173.194.127.242:

Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

C:\>

# 从研发部的某台电脑上ping 10.2.1.10服务器的某台设备,可以ping通。

C:\>ping 10.2.1.10

Ping 192.168.1.60 (10.2.1.10): 56 data bytes, press CTRL+C to break

56 bytes from 10.2.1.10: icmp_seq=0 ttl=255 time=12.963 ms

56 bytes from 10.2.1.10: icmp_seq=1 ttl=255 time=4.168 ms

56 bytes from 10.2.1.10: icmp_seq=2 ttl=255 time=7.390 ms

56 bytes from 10.2.1.10: icmp_seq=3 ttl=255 time=3.363 ms

56 bytes from 10.2.1.10: icmp_seq=4 ttl=255 time=2.901 ms

C:\>

# 从管理部的某台电脑上ping Internet上某个网站,结果可以ping通。

C:\>ping www.google.com

 

Pinging www.google.com [172.217.194.99] with 32 bytes of data:

 

Reply from 172.217.194.99: bytes=32 time=30ms TTL=50

Reply from 172.217.194.99: bytes=32 time=30ms TTL=50

Reply from 172.217.194.99: bytes=32 time=30ms TTL=50

Reply from 172.217.194.99: bytes=32 time=30ms TTL=50

 

Ping statistics for 172.217.194.99:

    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

    Minimum = 30ms, Maximum = 30ms, Average = 30ms

C:\>

1.5  配置文件

#

interface Ten-GigabitEthernet1/0/3

 port link-mode bridge

 packet-filter 3001 inbound

#

interface Ten-GigabitEthernet1/0/4

 port link-mode bridge

 packet-filter 3000 inbound

#

acl advanced 3000

 rule 0 deny ip destination 10.1.2.0 0.0.0.255

#

acl advanced 3001

 rule 0 permit ip destination 10.2.1.0 0.0.0.255

 rule 5 deny ip

#

1.6  相关资料

·     产品配套“ACL和QoS配置指导”中的“ACL”。

·     产品配套“ACL和QoS命令参考”中的“ACL”。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们