实时ping测小工具

下载思科ccna ccnp ccie认证 资料 题库 免费视频教程 就来攻城狮论坛就对了 http://bbs.vlan5.com

ACL简介
访问控制列表ACL（Access Control List）是由一条或多条规则组成的集合。所谓规则，是指描述报文匹配条件的判断语句，这些条件可以是报文的源地址、目的地址、端口号等。

[Switch-trafficpolicy-tp1] classifier tc1 behavior tb1  //将流分类tc1与流行为tb1关联
[Switch-trafficpolicy-tp1] quit
应用流策略

# 由于PC1的报文从GE2/0/1进入Switch并流向Internet，所以可以在接口GE2/0/1的入方向应用流策略tp1。

[Switch] interface gigabitethernet 2/0/1
[Switch-GigabitEthernet2/0/1] traffic-policy tp1 inbound  //流策略应用在接口入方向
[Switch-GigabitEthernet2/0/1] quit



配置特定时间段允许个别用户上网示例
ACL生效时间段简介
ACL定义了丰富的匹配项，可以满足大部分的报文过滤需求，但无法满足基于时间过滤报文的需求。
通过配置ACL生效时间段，并在ACL规则中引用，可以使设备基于时间过滤报文，从而能够管理员在不同时间段为用户设置不同的策略。
本例，就是在基本ACL中引入时间段，并在流策略模块中应用该ACL，使设备可以对特定时间段内用户访问外网的报文进行过滤，达到基于时间限制用户上网的目的。

组网需求
如图4所示，某公司通过Switch实现各部门之间的互连。公司要求在上班时间（周一至周五）所有员工均可以上网，但周末时间（周六和周日）仅允许各部门经理能够上网，其他用户不允许上网。

图4配置特定时间段允许个别用户上网组网图

  
配置思路
采用如下的思路在Switch上进行配置：

配置时间段、基本ACL和基于ACL的流分类，使设备可以基于时间的ACL，对公司用户访问外网的报文进行过滤，从而达到在特定时间段内仅允许个别用户上网的目的。
配置流行为，允许匹配上ACL的permit规则的报文通过。
配置并应用流策略，使ACL和流行为生效。
操作步骤
配置接口所属的VLAN以及接口的IP地址

# 创建VLAN10和VLAN20。

<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] vlan batch 10 20
# 配置Switch的接口GE1/0/1、GE1/0/2为trunk类型接口，并分别加入VLAN10和VLAN20；配置Switch的接口GE2/0/1为trunk类型接口，加入VLAN10和VLAN20。

[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type trunk
[Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 10
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] port link-type trunk
[Switch-GigabitEthernet1/0/2] port trunk allow-pass vlan 20
[Switch-GigabitEthernet1/0/2] quit
[Switch] interface gigabitethernet 2/0/1
[Switch-GigabitEthernet2/0/1] port link-type trunk
[Switch-GigabitEthernet2/0/1] port trunk allow-pass vlan 10 20
[Switch-GigabitEthernet2/0/1] quit# 创建VLANIF10和VLANIF20，并配置各VLANIF接口的IP地址。

[Switch] interface vlanif 10
[Switch-Vlanif10] ip address 10.1.1.1 24
[Switch-Vlanif10] quit
[Switch] interface vlanif 20
[Switch-Vlanif20] ip address 10.1.2.1 24
[Switch-Vlanif20] quit

配置时间段

# 配置周六至周日的周期时间段。

[Switch] time-range rest-time 0:00 to 23:59 off-day  //配置ACL生效时间段，该时间段是一个周期时间段
配置ACL

# 创建基本ACL 2001并配置ACL规则，允许研发部和市场部经理主机（IP地址为10.1.1.11和10.1.2.12）在任意时间访问外网的报文通过，拒绝其他用户在周六和周日时间范围内访问外网的报文通过，即周六和周日仅允许研发部和市场部经理上网。

[Switch] acl 2001
[Switch-acl-basic-2001] rule permit source 10.1.1.11 0  //允许研发部经理任意时间访问外网
[Switch-acl-basic-2001] rule permit source 10.1.2.12 0  //允许市场部经理任意时间访问外网
[Switch-acl-basic-2001] rule deny time-range rest-time  //禁止其他用户在周六和周日时间访问外网
[Switch-acl-basic-2001] quit
配置基于基本ACL的流分类

# 配置流分类tc1，对匹配ACL 2001的报文进行分类。

[Switch] traffic classifier tc1  //创建流分类
[Switch-classifier-tc1] if-match acl 2001  //将ACL与流分类关联
[Switch-classifier-tc1] quit
配置流行为

# 配置流行为tb1，动作为允许报文通过（缺省值，不需配置）。

说明：
对于ACL规则中的动作permit、deny以及流行为中的动作permit、deny，只要存在一个是deny，匹配报文的最终处理结果就是deny，即丢弃报文。

[Switch] traffic behavior tb1  //创建流行为
[Switch-behavior-tb1] quit
配置流策略

# 定义流策略，将流分类与流行为关联。

[Switch] traffic policy tp1  //创建流策略
[Switch-trafficpolicy-tp1] classifier tc1 behavior tb1  //将流分类tc1与流行为tb1关联
[Switch-trafficpolicy-tp1] quit
在接口下应用流策略

# 由于内网主机访问外网的流量均从接口GE2/0/1出口流向Internet，所以可以在接口GE2/0/1的出方向应用流策略tp1。

[Switch] interface gigabitethernet 2/0/1
[Switch-GigabitEthernet2/0/1] traffic-policy tp1 outbound  //流策略应用在接口出方向
[Switch-GigabitEthernet2/0/1] quit


使用ACL限制不同网段的用户互访示例
组网需求如图5所示，某公司通过Switch实现各部门之间的互连。为方便管理网络，管理员为公司的研发部和市场部规划了两个网段的IP地址。同时为了隔离广播域，又将两个部门划分在不同VLAN之中。现要求Switch能够限制两个网段之间互访，防止公司机密泄露。图5使用高级ACL限制不同网段的用户互访示例
  
配置思路
采用如下的思路在Switch上进行配置：

配置高级ACL和基于ACL的流分类，使设备可以对研发部与市场部互访的报文进行过滤。
配置流行为，拒绝匹配上ACL的报文通过。
配置并应用流策略，使ACL和流行为生效。
操作步骤
配置接口所属的VLAN以及接口的IP地址

# 创建VLAN10和VLAN20。

<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] vlan batch 10 20
# 配置Switch的接口GE1/0/1和GE1/0/2为trunk类型接口，并分别加入VLAN10和VLAN20。

[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type trunk
[Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 10
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] port link-type trunk
[Switch-GigabitEthernet1/0/2] port trunk allow-pass vlan 20
[Switch-GigabitEthernet1/0/2] quit# 创建VLANIF10和VLANIF20，并配置各VLANIF接口的IP地址。

[Switch] interface vlanif 10
[Switch-Vlanif10] ip address 10.1.1.1 24
[Switch-Vlanif10] quit
[Switch] interface vlanif 20
[Switch-Vlanif20] ip address 10.1.2.1 24
[Switch-Vlanif20] quit

配置ACL

# 创建高级ACL 3001并配置ACL规则，拒绝研发部访问市场部的报文通过。

[Switch] acl 3001
[Switch-acl-adv-3001] rule deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255  //禁止研发部访问市场部
[Switch-acl-adv-3001] quit# 创建高级ACL 3002并配置ACL规则，拒绝市场部访问研发部的报文通过。

[Switch] acl 3002
[Switch-acl-adv-3002] rule deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255  //禁止市场部访问研发部
[Switch-acl-adv-3002] quit
配置基于高级ACL的流分类

# 配置流分类tc1，对匹配ACL 3001和ACL 3002的报文进行分类。

[Switch] traffic classifier tc1  //创建流分类
[Switch-classifier-tc1] if-match acl 3001  //将ACL与流分类关联
[Switch-classifier-tc1] if-match acl 3002  //将ACL与流分类关联
[Switch-classifier-tc1] quit
配置流行为

# 配置流行为tb1，动作为拒绝报文通过。

[Switch] traffic behavior tb1  //创建流行为
[Switch-behavior-tb1] deny  //配置流行为动作为拒绝报文通过
[Switch-behavior-tb1] quit
配置流策略

# 定义流策略，将流分类与流行为关联。

[Switch] traffic policy tp1  //创建流策略
[Switch-trafficpolicy-tp1] classifier tc1 behavior tb1  //将流分类tc1与流行为tb1关联
[Switch-trafficpolicy-tp1] quit
在接口下应用流策略

# 由于研发部和市场部互访的流量分别从接口GE1/0/1和GE1/0/2进入Switch，所以在接口GE1/0/1和GE1/0/2的入方向应用流策略。

[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] traffic-policy tp1 inbound  //流策略应用在接口入方向
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] traffic-policy tp1 inbound  //流策略应用在接口入方向
[Switch-GigabitEthernet1/0/2] quit

验证配置结果

# 查看ACL规则的配置信息。

[Switch] display acl 3001
Advanced ACL 3001, 1 rule                                                      
Acl's step is 5                                                                 
rule 5 deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 (match-counter 0)   
[Switch] display acl 3002
Advanced ACL 3002, 1 rule                                                      
Acl's step is 5                                                                 
rule 5 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 (match-counter 0)  # 查看流分类的配置信息。

[Switch] display traffic classifier user-defined
  User Defined Classifier Information:
   Classifier: tc1
    Precedence: 5
    Operator: OR
    Rule(s) : if-match acl 3001                                                
              if-match acl 3002

Total classifier number is 1   # 查看流策略的配置信息。

[Switch] display traffic policy user-defined tp1
  User Defined Traffic Policy Information:                                      
  Policy: tp1                                                                  
   Classifier: tc1                                                              
    Operator: OR                                                               
     Behavior: tb1                                                              
      Deny  # 研发部和市场部所在的两个网段之间不能互访。

你知道么? 通过论坛客服报名CCNA,CCNP,CCIE 最高可省2000元培训费. 联系QQ 80766391

每天签到得积分 下载资料的同时也可以帮助别人 再也不用担心金币不够用了 http://bbs.vlan5.com/forum-97-1.html

每天签到得积分 下载资料的同时也可以帮助别人 再也不用担心金币不够用了 http://bbs.vlan5.com/forum-97-1.html

轻松3步 无限次刷金币 每次200 只需20秒 http://bbs.vlan5.com/thread-14477-1-1.html

金币不够用?来这里看看吧~~10种方法轻松拿金币~~~ http://bbs.vlan5.com/thread-9184-1-1.html

你知道么? 加2000人思科华为网络技术讨论群2258097 然后私聊群主 可以免费回答学习 工作中遇到的问题

你知道么? 通过论坛客服报名CCNA,CCNP,CCIE 最高可省2000元培训费. 联系QQ 80766391

轻松3步 无限次刷金币 每次200 只需20秒http://bbs.vlan5.com/thread-14477-1-1.html