NE80/NE40/S8016产品VRP3.1/VRP3.3版本访问控制功能的配置
一、 组网需求:
在8011的E3/0/15接口入方向做访问控制,使RTA能ping通RTB的Loopback0接口地址1.1.1.1,但不能ping通RTB的Loopback1接口地址2.2.2.2
二、 组网图:
RTA和RTB可以为任意路由器或三层交换机,8011为需要实现访问控制功能的NE80/NE40/S8016设备。8011上VRP软件版本为3.1或3.3
三、 配置步骤:
1. 组网并完成各路由器上的OSPF配置,在OSPF中发布所有接口,包括物理接口和Loopback接口的路由。
2. 在8011上配置EACL,在E3/0/15接口入方向做访问控制,使RTA能ping通RTB的Loopback0接口地址1.1.1.1,但不能ping通RTB的Loopback1接口地址2.2.2.2。配置命令如下:
1) 创建流分类rule1
[8011]rule-map intervlan rule1 ip any 1.1.1.1 0 .0.0.0
2) 创建流分类rule2
[8011]rule-map intervlan rule2 ip any 2.2.2.2 0.0.0.0
3) 流rule1允许通过
[8011]eacl eacl-acl rule1 permit
4) 流rule2禁止通过
[8011]eacl eacl-acl rule2 deny
5) 如果需要应用EACL的接口是二层接口,则用以下命令进入端口视图并在此端口应用EACL
[8011]interface Ethernet 3/0/15
[8011-Ethernet3/0/15]access-group switch eacl eacl-acl
6) 如果需要应用EACL的接口是三层接口,则用以下命令进入端口视图并在此端口应用EACL
[8011]interface Ethernet 3/0/15
[8011-Ethernet3/0/15]access-group router eacl eacl-acl
注:步骤5)和6)只用选择其一,如果要实现访问控制的接口是二层接口则选择步骤5),如果是三层接口则选择步骤6)
3. 从RTA上ping路由器RTB的Loopback接口地址1.1.1.1和2.2.2.2,结果可以ping通1.1.1.1,而不能ping通2.2.2.2
四、 配置关键点:
配置过程有3步:首先用rule-map创建流分类;然后用eacl给分类后的每一类流指定一个 行为,这里我们指定的流行为是允许或不允许通过,配置时我们可以用同一个eacl给多个不同流指定不同行为;最后,将配置好的eacl在相应端口应用。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作