华为技术：配置通过流策略实现不同网段间限制互访示例

组网要求：公司内部有三个部门，分别属于VLAN 10、VLAN 20和VLAN 30。为了安全考虑，VLAN 10的用户只能访问VLAN 20，但不能访问VLAN30。要求三个部门都能正常上网，没有其他限制。

一、主要知识点：

简介

MQC是指通过将具有某类共同特征的报文划分为一类，并为同一类报文提供相同的服务，也可以对不同类的报文提供不同的服务。

高级ACL可以在规则中使用源IP地址和目的IP地址信息来定义允许和拒绝通过的数据流。在流分类中按照ACL对报文进行分类，并指定对匹配的报文采取的动作（允许或拒绝通过）。本例就是使用该方法实现不同网段间的互访限制。

配置注意事项

ACL与流策略经常组合使用。流策略定义符合ACL的流分类，然后再定义符合流分类的行为，即动作，例如允许通过，拒绝通过等等。

交换机目前默认报文都是permit的，如果只要求网段之间不能访问，只需要在ACl中配置想要deny的报文。如果最后多添加一条rule permit命令，此时所有报文都会命中此规则。如果在behavior中配置deny，将会过滤所有报文，导致全部业务中断。

二、配置思路：

1. 创建VLAN，配置各接口和路由协议，实现公司和外部网络互通。

2. 在Switch上配置ACL规则，分别匹配需要允许和拒绝访问的数据流。

3. 在Switch上配置流分类，按照ACL对报文进行分类。

4. 在Switch上配置流行为，动作为permit，允许访问（拒绝访问的数据流在ACL中定义）。

5. 在Switch上配置流策略，绑定流分类和流行为，并应用到与SwitchA相连的GE0/0/1接口的入方向，实现不同网段限制互访的要求。

三、IP设置：

1、PC1：vlan 10，192.168.10.1/24

PC2：vlan 20，192.168.20.1/24

PC3：vlan 30，192.168.30.1/24

2、SwitchA:vlan10，vlan20，vlan30

3、Switch:vlanif10:192.168.10.254/24

Vlanif20:192.168.20.254/24

Vlanif30:192.168.30.254/24

Vlanif40:10.0.0.1/24

4、RouterA：10.0.0.2/24

四、SwtichA交换机的主要配置文件：

#

sysname SwitchA

#

vlan batch 10 20 30

#

interface GigabitEthernet0/0/1

port link-type access

port default vlan 10

#

interface GigabitEthernet0/0/2

port link-type access

port default vlan 20

#

interface GigabitEthernet0/0/3

port link-type access

port default vlan 30

#

interface GigabitEthernet0/0/4

port link-type trunk

port trunk allow-pass vlan 10 20 30

#

return

五、Switch交换机的主要配置文件：

#

sysname Swtich

#

vlan batch 10 20 30 40

#

acl number 3001

rule 5 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.2

55

rule 10 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.30.0 0.0.0.25

5

rule 15 permit ip

#

traffic classifier c1 operator and

if-match acl 3001

#

traffic behavior b1

permit

#

traffic policy p1

classifier c1 behavior b1

#

interface Vlanif10

ip address 192.168.10.254 255.255.255.0

#

interface Vlanif20

ip address 192.168.20.254 255.255.255.0

#

interface Vlanif30

ip address 192.168.30.254 255.255.255.0

#

interface Vlanif40

ip address 10.0.0.1 255.255.255.0

#

interface MEth0/0/1

#

interface GigabitEthernet0/0/1

port link-type trunk

port trunk allow-pass vlan 10 20 30

traffic-policy p1 inbound

#

interface GigabitEthernet0/0/2

port link-type access

port default vlan 40

#

ip route-static 0.0.0.0 0.0.0.0 10.0.0.2

#

user-interface con 0

user-interface vty 0 4

#

return

六、RouterA路由器的主要配置文件：

#

sysname Router

#

interface Ethernet0/0/0

undo portswitch

ip address 10.0.0.2 255.255.255.0

#

ip route-static 192.168.0.0 255.255.0.0 10.0.0.1

#

return

七、验证配置结果：

1、查看ACL规则的配置信息。

[Swtich] disp acl 3001

Advanced ACL 3001, 3 rules

Acl's step is 5

rule 5 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.2

55

rule 10 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.30.0 0.0.0.25

5

rule 15 permit ip

2、查看流策略的配置信息。

[Swtich]display traffic policy user-defined

User Defined Traffic Policy Information:

Policy: p1

Classifier: c1

Operator: AND

Behavior: b1

Permit

Total policy number is 1

3、PC1 ping PC2是通的。

PC>ping 192.168.20.1

Ping 192.168.20.1: 32 data bytes, Press Ctrl_C to break

From 192.168.20.1: bytes=32 seq=1 ttl=127 time=78 ms

From 192.168.20.1: bytes=32 seq=2 ttl=127 time=93 ms

From 192.168.20.1: bytes=32 seq=3 ttl=127 time=78 ms

From 192.168.20.1: bytes=32 seq=4 ttl=127 time=94 ms

From 192.168.20.1: bytes=32 seq=5 ttl=127 time=78 ms

--- 192.168.20.1 ping statistics ---

5 packet(s) transmitted

5 packet(s) received

0.00% packet loss

round-trip min/avg/max = 78/84/94 ms

2、PC1 ping PC3是不通的。

PC>ping 192.168.30.1

Ping 192.168.30.1: 32 data bytes, Press Ctrl_C to break

Request timeout!

Request timeout!

Request timeout!

Request timeout!

Request timeout!

--- 192.168.30.1 ping statistics ---

5 packet(s) transmitted

0 packet(s) received

100.00% packet loss