设为首页收藏本站language→→ 语言切换
开启辅助访问 切换到宽版

鸿鹄论坛

 找回密码
 论坛注册

QQ登录

先注册再绑定QQ

鸿鹄论坛»鸿鹄论坛 ≡□≡华为认证≡□≡ HCIP学习资料 华为设备配置QOS配置限制特定时间访问
返回列表 发新帖
查看: 3101|回复: 12
收起左侧

[分享] 华为设备配置QOS配置限制特定时间访问

[复制链接]
小乔
 成长值: 63250
发表于 2018-7-5 13:09:45 | 显示全部楼层 |阅读模式
简介
MQC(Modular QoS Command-Line Interface)是指通过将具有某类共同特征的报文划分为一类,并为同一类报文提供相同的服务,也可以对不同类的报文提供不同的服务。对特定类型的报文进行过滤,只能依托MQC功能实现。

当用户认为某类报文不可信时,可以通过MQC将这类报文与其他报文区别出来并进行丢弃;同样的,当用户认为某类报文可信时,也可以通过MQC将这类报文与其他报文区别出来并允许通过。

与黑名单相比,通过MQC实现报文过滤可以对报文进行更精细的划分,在网络部署时更加灵活。
组网需求
如图1所示,企业内部有两个部门,分别属于VLAN 10和VLAN 20。VLAN 10主要是服务器区,为内网和外网用户提供服务;VLAN 20用于员工办公。要求在工作时间(8:00~18:00)限制VLAN 20内网的用户访问公网,只能访问内网VLAN 10里面的服务器提供的服务。
1.jpg


2.jpg
配置思路
采用如下的思路配置限制部分用户在特定时间无法上网:
创建VLAN,配置各接口和路由协议,实现公司和外部网络互通。
在Switch上配置时间段,定义工作时间段为周一到周五8:00~18:00,使设备可以根据时间段对流量进行控制。
在Switch上配置ACL规则并结合已配置的时间段,分别匹配VLAN 20的用户访问VLAN 10和访问公网的流量。
在Switch上配置流分类,按照ACL对报文进行分类。
在Switch上配置流行为,允许匹配的流量通过。
在Switch上配置流策略,绑定上述流分类和流行为,并应用到与SwitchA相连的接口GE1/0/1的入方向,实现VLAN 20的用户无法在工作时间上网但非工作时间可以正常上网的需求。
操作步骤
创建VLAN并配置各接口

# 配置Switch。

<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] vlan batch 10 20 30 40  //创建VLAN 10~VLAN 40
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type trunk  //设置接口接入类型为trunk
[Switch-GigabitEthernet1/0/1] port trunk allow-pass vlan 10 20  //将接口划分到VLAN 10和VLAN 20
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] port link-type access  //设置接口接入类型为access
[Switch-GigabitEthernet1/0/2] port default vlan 30  //将接口划分到VLAN 30
[Switch-GigabitEthernet1/0/2] quit
[Switch] interface gigabitethernet 1/0/3
[Switch-GigabitEthernet1/0/3] port link-type access
[Switch-GigabitEthernet1/0/3] port default vlan 40
[Switch-GigabitEthernet1/0/3] quit
[Switch] interface vlanif 10  //创建VLANIF接口
[Switch-Vlanif10] ip address 192.168.1.1 255.255.255.0  //配置VLANIF接口的IP地址,此IP地址为192.168.1.0/24网段的网关
[Switch-Vlanif10] quit
[Switch] interface vlanif 20
[Switch-Vlanif20] ip address 192.168.2.1 255.255.255.0
[Switch-Vlanif20] quit
[Switch] interface vlanif 30  //创建VLANIF接口
[Switch-Vlanif30] ip address 10.1.20.2 255.255.255.0  //配置VLANIF接口的IP地址,用于与RouterA互连
[Switch-Vlanif30] quit
[Switch] interface vlanif 40
[Switch-Vlanif40] ip address 10.1.30.2 255.255.255.0
[Switch-Vlanif40] quit
[Switch] ip route-static 0.0.0.0 0 10.1.20.1  //配置静态路由指向外网并配置负载分担,实现网络互通
[Switch] ip route-static 0.0.0.0 0 10.1.30.1

# 配置SwitchA。

<HUAWEI> system-view
[HUAWEI] sysname SwitchA
[SwitchA] vlan batch 10 20  //创建VLAN 10和VLAN20
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] port link-type access  //设置接口接入类型为access
[SwitchA-GigabitEthernet1/0/1] port default vlan 10  //将接口划分到VLAN 10
[SwitchA-GigabitEthernet1/0/1] quit
[SwitchA] interface gigabitethernet 1/0/2
[SwitchA-GigabitEthernet1/0/2] port link-type access
[SwitchA-GigabitEthernet1/0/2] port default vlan 20
[SwitchA-GigabitEthernet1/0/2] quit
[SwitchA] interface gigabitethernet 1/0/3
[SwitchA-GigabitEthernet1/0/3] port link-type trunk  //设置接口接入类型为trunk
[SwitchA-GigabitEthernet1/0/3] port trunk allow-pass vlan 10 20  //将接口划分到VLAN 10和VLAN 20
[SwitchA-GigabitEthernet1/0/3] quit
# 配置路由器。

配置路由器A上与Switch相连的接口的IP地址为10.1.20.1/24。

配置路由器B上与Switch相连的接口的IP地址为10.1.30.1/24。


配置时间段

# 在Switch上配置时间段,定义工作时间为周一到周五8:00~18:00

[Switch] time-range worktime 8:00 to 18:00 working-day

配置ACL

# 在Switch上配置ACL,定义允许和拒绝通过的流量。

[Switch] acl 3000
[Switch-acl-adv-3000] rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 time-range worktime  //配置允许VLAN20的用户在工作时间访问VLAN 10中的服务器
[Switch-acl-adv-3000] rule deny ip source 192.168.2.0 0.0.0.255 time-range worktime  //配置限制VLAN20的用户在工作时间访问公网
[Switch-acl-adv-3000] quit

配置流分类

# 在Switch上配置流分类,按照ACL对报文进行分类。

[Switch] traffic classifier c1 operator and
[Switch-classifier-c1] if-match acl 3000
[Switch-classifier-c1] quit

配置流行为

# 在Switch配置流行为,并配置允许动作。

[Switch] traffic behavior b1
[Switch-behavior-b1] permit
[Switch-behavior-b1] quit

配置流策略并应用到接口上

# 在Switch上创建流策略,将流分类和对应的流行为进行绑定,并将流策略应用到与SwitchA相连的接口GE1/0/1的入方向上。

[Switch] traffic policy p1
[Switch-trafficpolicy-p1] classifier c1 behavior b1
[Switch-trafficpolicy-p1] quit
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] traffic-policy p1 inbound
[Switch-GigabitEthernet1/0/1] quit

验证配置结果

# 查看ACL规则的配置信息。

[Switch] display acl 3000
Advanced ACL 3000, 2 rules
Acl's step is 5
rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 time-range worktime (match-counter 0)(Active)
rule 10 deny ip source 192.168.2.0 0.0.0.255 time-range worktime (match-counter 0)(Active)
说明:
如果设备的当前时钟在time-range定义的范围内,则ACL规则配置信息中显示为Active,否则显示为Inactive。

# 查看流策略的配置信息。

[Switch] display traffic policy user-defined p1
  User Defined Traffic Policy Information:
  Policy: p1
   Classifier: c1
    Operator: AND
     Behavior: b1
      Permit
# 在工作时间内在VLAN 20访问公网,发现无法访问;访问VLAN 10中的服务器,可以成功访问。


配置文件
Switch的配置文件

#
sysname Switch
#
vlan batch 10 20 30 40
#
time-range worktime 08:00 to 18:00 working-day
#
acl number 3000  
rule 5 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 time-range worktime
rule 10 deny ip source 192.168.2.0 0.0.0.255 time-range worktime
#
traffic classifier c1 operator and precedence 5
if-match acl 3000
#
traffic behavior b1
permit
#
traffic policy p1 match-order config
classifier c1 behavior b1
#
interface Vlanif10
ip address 192.168.1.1 255.255.255.0
#
interface Vlanif20
ip address 192.168.2.1 255.255.255.0
#
interface Vlanif30
ip address 10.1.20.2 255.255.255.0
#
interface Vlanif40
ip address 10.1.30.2 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk allow-pass vlan 10 20
traffic-policy p1 inbound
#
interface GigabitEthernet1/0/2
port link-type access
port default vlan 30
#
interface GigabitEthernet1/0/3
port link-type access
port default vlan 40
#
ip route-static 0.0.0.0 0.0.0.0 10.1.20.1
ip route-static 0.0.0.0 0.0.0.0 10.1.30.1
#
returnSwitchA的配置文件

#
sysname SwitchA
#
vlan batch 10 20
#
interface GigabitEthernet1/0/1
port link-type access
port default vlan 10
#
interface GigabitEthernet1/0/2
port link-type access
port default vlan 20
#
interface GigabitEthernet1/0/3
port link-type trunk
port trunk allow-pass vlan 10 20
#
return



回复

使用道具 举报

s79001
发表于 2018-7-9 21:53:29 | 显示全部楼层

thank you for sharing
沙发 2018-7-9 21:53:29 回复 收起回复
回复 支持 反对

使用道具 举报

liyou60
发表于 2024-6-14 17:34:58 | 显示全部楼层
华   值   
为   得   
认   拥   
证   有   
,   !   
板凳 2024-6-14 17:34:58 回复 收起回复
回复 支持 反对

使用道具 举报

liyou60
发表于 2024-6-14 17:35:14 | 显示全部楼层
华   值   
为   得   
认   拥   
证   有   
,   !   
地板 2024-6-14 17:35:14 回复 收起回复
回复 支持 反对

使用道具 举报

liyou60
发表于 2024-6-14 17:35:26 | 显示全部楼层
华   值   
为   得   
认   拥   
证   有   
,   !   
5# 2024-6-14 17:35:26 回复 收起回复
回复 支持 反对

使用道具 举报

liyou60
发表于 2024-6-14 17:35:33 | 显示全部楼层
华   值   
为   得   
认   拥   
证   有   
,   !   
6# 2024-6-14 17:35:33 回复 收起回复
回复 支持 反对

使用道具 举报

liyou60
发表于 2024-6-14 17:35:39 | 显示全部楼层
华   值   
为   得   
认   拥   
证   有   
,   !   
7# 2024-6-14 17:35:39 回复 收起回复
回复 支持 反对

使用道具 举报

liyou60
发表于 2024-6-14 17:35:46 | 显示全部楼层
华   值   
为   得   
认   拥   
证   有   
,   !   
8# 2024-6-14 17:35:46 回复 收起回复
回复 支持 反对

使用道具 举报

liyou60
发表于 2024-6-14 17:35:52 | 显示全部楼层
华   值   
为   得   
认   拥   
证   有   
,   !   
9# 2024-6-14 17:35:52 回复 收起回复
回复 支持 反对

使用道具 举报

liyou60
发表于 2024-6-14 17:35:58 | 显示全部楼层
华   值   
为   得   
认   拥   
证   有   
,   !   
10# 2024-6-14 17:35:58 回复 收起回复
回复 支持 反对

使用道具 举报

liyou60
发表于 2024-6-14 17:36:04 | 显示全部楼层
华   值   
为   得   
认   拥   
证   有   
,   !   
11# 2024-6-14 17:36:04 回复 收起回复
回复 支持 反对

使用道具 举报

liyou60
发表于 2024-6-14 17:36:10 | 显示全部楼层
华   值   
为   得   
认   拥   
证   有   
,   !   
12# 2024-6-14 17:36:10 回复 收起回复
回复 支持 反对

使用道具 举报

liyou60
发表于 2024-6-14 17:36:16 | 显示全部楼层
华   值   
为   得   
认   拥   
证   有   
,   !   
13# 2024-6-14 17:36:16 回复 收起回复
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 论坛注册

本版积分规则

QQ|Archiver|手机版|小黑屋|sitemap|鸿鹄论坛 ( 京ICP备14027439号 )  

GMT+8, 2025-1-23 09:10 , Processed in 0.073335 second(s), 12 queries , Redis On.  

  Powered by Discuz!

  © 2001-2025 HH010.COM

快速回复 返回顶部 返回列表