组网要求:企业内部有两个部门,分别属于VLAN 10和VLAN 20。VLAN 10主要是服务器区,为内网和外网用户提供服务;VLAN 20用于员工办公。要求在工作时间(8:00~18:00)限制VLAN 20内网的用户访问公网,只能访问内网VLAN 10里面的服务器提供的服务。
一、主要知识点:
简介
MQC(Modular QoS Command-Line Interface)是指通过将具有某类共同特征的报文划分为一类,并为同一类报文提供相同的服务,也可以对不同类的报文提供不同的服务。对特定类型的报文进行过滤,只能依托MQC功能实现。
当用户认为某类报文不可信时,可以通过MQC将这类报文与其他报文区别出来并进行丢弃;同样的,当用户认为某类报文可信时,也可以通过MQC将这类报文与其他报文区别出来并允许通过。
与黑名单相比,通过MQC实现报文过滤可以对报文进行更精细的划分,在网络部署时更加灵活。
二、配置思路:
1. 创建VLAN,配置各接口和路由协议,实现公司和外部网络互通。
2. 在Switch上配置时间段,定义工作时间段为周一到周五8:00~18:00,使设备可以根据时间段对流量进行控制。
3. 在Switch上配置ACL规则并结合已配置的时间段,分别匹配VLAN 20的用户访问VLAN 10和访问公网的流量。
4. 在Switch上配置流分类,按照ACL对报文进行分类。
5. 在Switch上配置流行为,允许匹配的流量通过。
6. 在Switch上配置流策略,绑定上述流分类和流行为,并应用到与SwitchA相连的接口GE0/0/1的入方向,实现VLAN 20的用户无法在工作时间上网但非工作时间可以正常上网的需求。
三、IP设置:
1、服务器区:vlan 10,192.168.10.1/24
办公区:vlan 20,192.168.20.1/24
2、SwitchA:vlan10,vlan20
3、Switch:vlanif10:192.168.10.254/24
Vlanif20:192.168.20.254/24
Vlanif30:10.0.0.1/24
Vlanif40:10.0.10.1/24
4、RouterA:10.0.0.2/24
5、RouterB:10.0.10.2/24
四、SwtichA交换机的主要配置文件:
#
sysname SwitchA
#
vlan batch 10 20
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 20
#
interface GigabitEthernet0/0/3
port link-type trunk
port trunk allow-pass vlan 10 20
#
return
五、Switch交换机的主要配置文件:
#
sysname Switch
#
vlan batch 10 20 30 40
#
time-range working 08:00 to 18:00 working-day //定义工作时间为周一到周五8:00~18:00
#
diffserv domain default
#
acl number 3001
rule 5 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 time-range working //允许192.168.20.0网络在工作时间访问192.168.10.0网络
rule 10 deny ip source 192.168.20.0 0.0.0.255 destination 10.0.0.0 0.0.0.255 time-range working
rule 15 deny ip source 192.168.20.0 0.0.0.255 destination 10.0.10.0 0.0.0.255 time-range working
#
traffic classifier c1 operator and //配置流分类,按照ACL对报文进行分类。
if-match acl 3001
#
traffic behavior b1 //配置流行为,并配置允许动作。
permit
#
traffic policy p1 //创建流策略,将流分类和对应的流行为进行绑定
classifier c1 behavior b1
#
interface Vlanif10
ip address 192.168.10.254 255.255.255.0
#
interface Vlanif20
ip address 192.168.20.254 255.255.255.0
#
interface Vlanif30
ip address 10.0.0.1 255.255.255.0
#
interface Vlanif40
ip address 10.0.10.1 255.255.255.0
#
interface MEth0/0/1
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20
traffic-policy p1 inbound //将流策略p1绑定到接口入方向
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 30
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 40
#
ip route-static 0.0.0.0 0.0.0.0 10.0.0.2
ip route-static 0.0.0.0 0.0.0.0 10.0.10.2
#
user-interface con 0
user-interface vty 0 4
#
return
六、RouterA路由器的主要配置文件:
#
sysname RouterA
#
interface Ethernet0/0/0
undo portswitch
ip address 10.0.0.2 255.255.255.0
#
ip route-static 192.168.10.0 255.255.255.0 10.0.0.1
ip route-static 192.168.20.0 255.255.255.0 10.0.0.1
#
return
七、验证配置结果:
1、查看ACL规则的配置信息。
[Switch]display acl 3001
Advanced ACL 3001, 3 rules
Acl's step is 5
rule 5 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.2
55 time-range working (Inactive)
rule 10 deny ip source 192.168.20.0 0.0.0.255 destination 10.0.0.0 0.0.0.255 ti
me-range working (Inactive)
rule 15 deny ip source 192.168.20.0 0.0.0.255 destination 10.0.10.0 0.0.0.255 t
ime-range working (Inactive)
2、查看流策略的配置信息。
[Switch]display traffic policy user-defined
User Defined Traffic Policy Information:
Policy: p1
Classifier: c1
Operator: AND
Behavior: b1
Permit
Total policy number is 1
在工作时间内在VLAN 20访问公网,发现无法访问;访问VLAN 10中的服务器,可
以成功访问。
领取专属 10元无门槛券
私享最新 技术干货