2023-03-26

华为拓扑测试

字数统计: 664字 | 阅读时长: 3分

华为拓扑测试

首先创建拓扑图

设计目标

禁止192.168.30.2 访问 192.168.50.0/24
禁止ACC4.VLAN10访问ACC6.VLAN40
禁止ACC2.VLAN30访问ACC6.VLAN40
禁止ACC3(192.168.40.2)可以从CORE的所有接口转发出去
NULL
允许 192.168.10.2 访问192.168.50.0/24
允许 192.168.10.4 访问192.168.50.0/24
禁止192.168.10.0/24 访问 192.168.50.0/24

方案

ACC3上部署ACL 实现目标6 7 8

使用简化流策略，作用于接口。仅使用了基本ACL，满足了基本ACL尽量离目标近

acl name acl3 2001;
rule 5 permit source 192.168.10.4 0;
rule 10 permit source 192.168.10.2 0;
rule 15 deny source 192.168.10.0 0.0.0.255;

interface ge0/0/3
traffic-filter inbound acl name acl3

CORE上部署ACL 实现目标1 3 4

使用流策略，既作用于接口又作用于VLAN。仅使用扩展ACL，扩展ACL离源设备近

acl number 3002;
rule 5 deny ip source 192.168.30.0 0.0.0.255 destination 192.168.50.0 0.0.0.255
acl number 3003;
rule 10 deny ip source 192.168.30.0 0.0.0.255 destination 192.168.40.0 0.0.0.255
acl number 3004;
rule 5 deny ip destination 192.168.40.2 0

#配置流分类
traffic classifier c1;
if-match acl 3002;
traffic classifier c2;
if-match acl 3003;
traffic classifier c3;
if-match acl 3004;
#配置流行为
traffic behavior b1;
permit;
#配置流策略
traffic policy p1;
classifier c1 behavior b1;
traffic policy p2;
classifier c2 behavior b1;
traffic policy p3;
classifier c3 behavior b1;
traffic-policy p3 global outbound;#全局视图
#应用流策略
int g0/0/2
traffic-policy p1 inbound
vlan 30
traffic-policy p2 inbound

ACC1上部署ACL 实现目标2

acl number 3005;
rule 5 deny ip source 192.168.10.0 0.0.0.255 destination 192.168.40.0 0.0.0.255

#配置流分类
traffic classifier c1;
if-match acl 3005;
#配置流行为
traffic behavior b1;
permit;
#配置流策略
traffic policy p1;
classifier c1 behavior b1;
#应用流策略
vlan 10
traffic-policy p1 inbound

Ensp中删除ACL及流策略、简化流策略

删除流策略

如果需要删除的流策略已经应用到全局、接口或VLAN，则不允许直接删除该策略，需要先在相应的视图下执行undo traffic-policy命令取消对该策略的应用，然后再到全局执行undo traffic policy命令完成删除。如果没有应用，则可以直接删除。

删除ACL规则

执行命令undo acl { [ number ] acl-number | all }或undo acl name acl-name，删除ACL。

执行命令undo acl ipv6 { all | [ number ] acl6-number }或undo acl ipv6 name acl6-name，删除ACL6。