华为技术：配置通过流策略限制部分用户在特定时间无法上网示例

组网要求：企业内部有两个部门，分别属于VLAN 10和VLAN 20。VLAN 10主要是服务器区，为内网和外网用户提供服务；VLAN 20用于员工办公。要求在工作时间（8:00～18:00）限制VLAN 20内网的用户访问公网，只能访问内网VLAN 10里面的服务器提供的服务。

一、主要知识点：

简介

MQC（Modular QoS Command-Line Interface）是指通过将具有某类共同特征的报文划分为一类，并为同一类报文提供相同的服务，也可以对不同类的报文提供不同的服务。对特定类型的报文进行过滤，只能依托MQC功能实现。

当用户认为某类报文不可信时，可以通过MQC将这类报文与其他报文区别出来并进行丢弃；同样的，当用户认为某类报文可信时，也可以通过MQC将这类报文与其他报文区别出来并允许通过。

与黑名单相比，通过MQC实现报文过滤可以对报文进行更精细的划分，在网络部署时更加灵活。

二、配置思路：

1. 创建VLAN，配置各接口和路由协议，实现公司和外部网络互通。

2. 在Switch上配置时间段，定义工作时间段为周一到周五8:00～18:00，使设备可以根据时间段对流量进行控制。

3. 在Switch上配置ACL规则并结合已配置的时间段，分别匹配VLAN 20的用户访问VLAN 10和访问公网的流量。

4. 在Switch上配置流分类，按照ACL对报文进行分类。

5. 在Switch上配置流行为，允许匹配的流量通过。

6. 在Switch上配置流策略，绑定上述流分类和流行为，并应用到与SwitchA相连的接口GE0/0/1的入方向，实现VLAN 20的用户无法在工作时间上网但非工作时间可以正常上网的需求。

三、IP设置：

1、服务器区：vlan 10，192.168.10.1/24

办公区：vlan 20，192.168.20.1/24

2、SwitchA:vlan10，vlan20

3、Switch:vlanif10:192.168.10.254/24

Vlanif20:192.168.20.254/24

Vlanif30:10.0.0.1/24

Vlanif40:10.0.10.1/24

4、RouterA：10.0.0.2/24

5、RouterB：10.0.10.2/24

四、SwtichA交换机的主要配置文件：

#

sysname SwitchA

#

vlan batch 10 20

#

interface GigabitEthernet0/0/1

port link-type access

port default vlan 10

#

interface GigabitEthernet0/0/2

port link-type access

port default vlan 20

#

interface GigabitEthernet0/0/3

port link-type trunk

port trunk allow-pass vlan 10 20

#

return

五、Switch交换机的主要配置文件：

#

sysname Switch

#

vlan batch 10 20 30 40

#

time-range working 08:00 to 18:00 working-day //定义工作时间为周一到周五8:00～18:00

#

diffserv domain default

#

acl number 3001

rule 5 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 time-range working  //允许192.168.20.0网络在工作时间访问192.168.10.0网络

rule 10 deny ip source 192.168.20.0 0.0.0.255 destination 10.0.0.0 0.0.0.255 time-range working

rule 15 deny ip source 192.168.20.0 0.0.0.255 destination 10.0.10.0 0.0.0.255 time-range working

#

traffic classifier c1 operator and //配置流分类，按照ACL对报文进行分类。

if-match acl 3001

#

traffic behavior b1 //配置流行为，并配置允许动作。

permit

#

traffic policy p1  //创建流策略，将流分类和对应的流行为进行绑定

classifier c1 behavior b1

#

interface Vlanif10

ip address 192.168.10.254 255.255.255.0

#

interface Vlanif20

ip address 192.168.20.254 255.255.255.0

#

interface Vlanif30

ip address 10.0.0.1 255.255.255.0

#

interface Vlanif40

ip address 10.0.10.1 255.255.255.0

#

interface MEth0/0/1

#

interface GigabitEthernet0/0/1

port link-type trunk

port trunk allow-pass vlan 10 20

traffic-policy p1 inbound //将流策略p1绑定到接口入方向

#

interface GigabitEthernet0/0/2

port link-type access

port default vlan 30

#

interface GigabitEthernet0/0/3

port link-type access

port default vlan 40

#

ip route-static 0.0.0.0 0.0.0.0 10.0.0.2

ip route-static 0.0.0.0 0.0.0.0 10.0.10.2

#

user-interface con 0

user-interface vty 0 4

#

return

六、RouterA路由器的主要配置文件：

#

sysname RouterA

#

interface Ethernet0/0/0

undo portswitch

ip address 10.0.0.2 255.255.255.0

#

ip route-static 192.168.10.0 255.255.255.0 10.0.0.1

ip route-static 192.168.20.0 255.255.255.0 10.0.0.1

#

return

七、验证配置结果：

1、查看ACL规则的配置信息。

[Switch]display acl 3001

Advanced ACL 3001, 3 rules

Acl's step is 5

rule 5 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.2

55 time-range working (Inactive)

rule 10 deny ip source 192.168.20.0 0.0.0.255 destination 10.0.0.0 0.0.0.255 ti

me-range working (Inactive)

rule 15 deny ip source 192.168.20.0 0.0.0.255 destination 10.0.10.0 0.0.0.255 t

ime-range working (Inactive)

2、查看流策略的配置信息。

[Switch]display traffic policy user-defined

User Defined Traffic Policy Information:

Policy: p1

Classifier: c1

Operator: AND

Behavior: b1

Permit

Total policy number is 1

在工作时间内在VLAN 20访问公网，发现无法访问；访问VLAN 10中的服务器，可

以成功访问。