NE80/NE40/S8016产品VRP3.1/VRP3.3版本访问控制功能的配置

NE80/NE40/S8016产品VRP3.1/VRP3.3版本访问控制功能的配置

一、  组网需求：

在8011的E3/0/15接口入方向做访问控制，使RTA能ping通RTB的Loopback0接口地址1.1.1.1，但不能ping通RTB的Loopback1接口地址2.2.2.2

二、  组网图：

RTA和RTB可以为任意路由器或三层交换机，8011为需要实现访问控制功能的NE80/NE40/S8016设备。8011上VRP软件版本为3.1或3.3

三、  配置步骤：

1.      组网并完成各路由器上的OSPF配置，在OSPF中发布所有接口，包括物理接口和Loopback接口的路由。

2.      在8011上配置EACL，在E3/0/15接口入方向做访问控制，使RTA能ping通RTB的Loopback0接口地址1.1.1.1，但不能ping通RTB的Loopback1接口地址2.2.2.2。配置命令如下：

1)                     创建流分类rule1

[8011]rule-map intervlan rule1 ip any 1.1.1.1 0     .0.0.0

2)                     创建流分类rule2

[8011]rule-map intervlan rule2 ip any 2.2.2.2 0.0.0.0

3)                     流rule1允许通过

[8011]eacl eacl-acl rule1 permit

4)                     流rule2禁止通过

[8011]eacl eacl-acl rule2 deny

5)                     如果需要应用EACL的接口是二层接口，则用以下命令进入端口视图并在此端口应用EACL

[8011]interface Ethernet 3/0/15

[8011-Ethernet3/0/15]access-group switch eacl eacl-acl

6)                     如果需要应用EACL的接口是三层接口，则用以下命令进入端口视图并在此端口应用EACL

[8011]interface Ethernet 3/0/15

[8011-Ethernet3/0/15]access-group router eacl eacl-acl

注：步骤5）和6）只用选择其一，如果要实现访问控制的接口是二层接口则选择步骤5），如果是三层接口则选择步骤6）

3.      从RTA上ping路由器RTB的Loopback接口地址1.1.1.1和2.2.2.2，结果可以ping通1.1.1.1，而不能ping通2.2.2.2

四、  配置关键点：

配置过程有3步：首先用rule-map创建流分类；然后用eacl给分类后的每一类流指定一个 行为，这里我们指定的流行为是允许或不允许通过，配置时我们可以用同一个eacl给多个不同流指定不同行为；最后，将配置好的eacl在相应端口应用。