报文过滤简介
通过MQC实现报文过滤。
网络中存在大量不信任报文,所谓的不信任报文是指对用户来说存在安全隐患或者不愿意接收的报文,部署报文过滤可以将这类报文直接丢弃,以提高用户在网络中的安全性。
当用户认为某类报文不可信时,可以通过MQC将这类报文与其他报文区别出来并进行丢弃;同样的,当用户认为某类报文可信时,也可以通过MQC将这类报文与其他报文区别出来并允许通过。
与黑名单相比,通过MQC实现报文过滤可以对报文进行更精细的划分,在网络部署时更加灵活。
报文过滤应用场景介绍报文过滤的应用场景。 报文过滤的应用部署报文过滤可以丢弃用户的不信任报文并允许信任的报文通过,以提高网络安全性并使网络规划更加灵活。 如图7-1所示,不同业务的报文在LAN侧使用802.1p优先级进行标识,用户希望能够在报文达到WAN侧之前对数据业务报文进行过滤,优先保证语音和视频业务的业务体验。 图7-1 报文过滤应用组网图
配置报文过滤示例组网需求如图7-2所示,企业网内部LAN侧的语音、视频和数据业务通过SwitchA和SwitchB连接到RouterA的接口Eth2/0/0和Eth2/0/1上,并通过RouterA的GE1/0/0接口连接到WAN侧网络。 不同业务的报文在LAN侧使用802.1p优先级进行标识,当报文从接口GE1/0/0到达WAN侧时,用户希望能够对数据业务报文进行过滤,优先保证语音和视频业务的业务体验。 图7-2 配置报文过滤组网图
配置思路采用包含禁止动作的流策略方式实现报文过滤,具体配置思路如下:- 配置各接口,实现企业用户能通过RouterA访问WAN侧网络。
- 配置流分类,实现基于802.1p优先级对报文进行分类。
- 配置流行为,实现对满足规则的报文进行禁止或允许动作。
- 配置流策略,绑定上述流分类和流行为,并分别应用到接口Eth2/0/0和Eth2/0/1的入方向,实现报文过滤。
操作步骤- 创建VLAN并配置各接口
# 在RouterA上创建VLAN10和VLAN20。 <Huawei> system-view[Huawei] sysname RouterA[RouterA] vlan batch 10 20# 配置RouterA上接口Eth2/0/0和Eth2/0/1为Trunk类型接口,并将Eth2/0/0加入VLAN10,将Eth2/0/1加入VLAN20。配置接口GE1/0/0的IP地址为192.168.4.1/24。 [RouterA] interface ethernet 2/0/0[RouterA-Ethernet2/0/0] port link-type trunk[RouterA-Ethernet2/0/0] port trunk allow-pass vlan 10[RouterA-Ethernet2/0/0] quit[RouterA] interface ethernet 2/0/1[RouterA-Ethernet2/0/1] port link-type trunk[RouterA-Ethernet2/0/1] port trunk allow-pass vlan 20[RouterA-Ethernet2/0/1] quit[RouterA] interface gigabitethernet 1/0/0[RouterA-GigabitEthernet1/0/0] ip address 192.168.4.1 24[RouterA-GigabitEthernet1/0/0] quit 说明:请配置SwitchA与RouterA对接的接口为Trunk类型,并加入VLAN10。 请配置SwitchB与RouterA对接的接口为Trunk类型,并加入VLAN20。
# 创建VLANIF10和VLANIF20,并为VLANIF10配置IP地址192.168.2.1/24,为VLANIF20配置IP地址192.168.3.1/24。 [RouterA] interface vlanif 10[RouterA-Vlanif10] ip address 192.168.2.1 24[RouterA-Vlanif10] quit[RouterA] interface vlanif 20[RouterA-Vlanif20] ip address 192.168.3.1 24[RouterA-Vlanif20] quit# 配置RouterB的接口GE1/0/0的IP地址为192.168.4.2/24。 <Huawei> system-view[Huawei] sysname RouterB[RouterB] interface gigabitethernet 1/0/0[RouterB-GigabitEthernet1/0/0] ip address 192.168.4.2 24[RouterB-GigabitEthernet1/0/0] quit# 配置RouterB与LAN侧网络层互通。 [RouterB] ip route-static 192.168.2.0 255.255.255.0 192.168.4.1[RouterB] ip route-static 192.168.3.0 255.255.255.0 192.168.4.1 说明:请配置SwitchA对应企业网内用户的缺省网关为192.168.2.1/24。 请配置SwitchB对应企业网内用户的缺省网关为192.168.3.1/24。
- 配置流分类
# 在RouterA上创建并配置流分类c1、c2、c3,对报文按照802.1p优先级进行分类。 [RouterA] traffic classifier c1[RouterA-classifier-c1] if-match 8021p 2[RouterA-classifier-c1] quit[RouterA] traffic classifier c2[RouterA-classifier-c2] if-match 8021p 5[RouterA-classifier-c2] quit[RouterA] traffic classifier c3[RouterA-classifier-c3] if-match 8021p 6[RouterA-classifier-c3] quit
- 配置流行为
# 在RouterA上创建流行为b1,并配置禁止动作。 [RouterA] traffic behavior b1[RouterA-behavior-b1] deny[RouterA-behavior-b1] quit# 在RouterA上创建流行为b2和b3,并配置允许动作。 [RouterA] traffic behavior b2[RouterA-behavior-b2] permit[RouterA-behavior-b2] quit[RouterA] traffic behavior b3[RouterA-behavior-b3] permit[RouterA-behavior-b3] quit
- 配置流策略并应用到接口上
# 在RouterA上创建流策略p1,将流分类和对应的流行为进行绑定并将流策略应用到接口Eth2/0/0和Eth2/0/1的入方向上,对报文进行过滤。 [RouterA] traffic policy p1[RouterA-trafficpolicy-p1] classifier c1 behavior b1[RouterA-trafficpolicy-p1] classifier c2 behavior b2[RouterA-trafficpolicy-p1] classifier c3 behavior b3[RouterA-trafficpolicy-p1] quit[RouterA] interface ethernet 2/0/0[RouterA-Ethernet2/0/0] traffic-policy p1 inbound[RouterA-Ethernet2/0/0] quit[RouterA] interface ethernet 2/0/1[RouterA-Ethernet2/0/1] traffic-policy p1 inbound[RouterA-Ethernet2/0/1] quit
- 验证配置结果
# 查看流分类的配置信息。 <RouterA> display traffic classifier user-defined User Defined Classifier Information: Classifier: c2 Operator: OR Rule(s) : if-match 8021p 5 Classifier: c3 Operator: OR Rule(s) : if-match 8021p 6 Classifier: c1 Operator: OR Rule(s) : if-match 8021p 2 # 查看流策略的应用信息。 <Router> display traffic-policy applied-record p1------------------------------------------------- Policy Name: p1 Policy Index: 0 Classifier:c1 Behavior:b1 Classifier:c2 Behavior:b2 Classifier:c3 Behavior:b3 ------------------------------------------------- *interface Ethernet2/0/0 traffic-policy p1 inbound slot 0 : success slot 2 : success Classifier: c1 Operator: OR Rule(s) : if-match 8021p 2 Behavior: b1 Deny Classifier: c2 Operator: OR Rule(s) : if-match 8021p 5 Behavior: b2 Classifier: c3 Operator: OR Rule(s) : if-match 8021p 6 Behavior: b3 *interface Ethernet2/0/1 traffic-policy p1 inbound slot 0 : success slot 2 : success Classifier: c1 Operator: OR Rule(s) : if-match 8021p 2 Behavior: b1 Deny Classifier: c2 Operator: OR Rule(s) : if-match 8021p 5 Behavior: b2 Classifier: c3 Operator: OR Rule(s) : if-match 8021p 6 Behavior: b3 Behavior: Be Assured Forwarding: Bandwidth 0 (Kbps) ------------------------------------------------- Policy total applied times: 2.
配置文件RouterA的配置文件 # sysname RouterA#vlan batch 10 20#traffic classifier c3 operator or if-match 8021p 6traffic classifier c2 operator or if-match 8021p 5traffic classifier c1 operator or if-match 8021p 2#traffic behavior b3traffic behavior b2traffic behavior b1 deny#traffic policy p1 classifier c1 behavior b1 classifier c2 behavior b2 classifier c3 behavior b3#interface Vlanif10 ip address 192.168.2.1 255.255.255.0 # interface Vlanif20 ip address 192.168.3.1 255.255.255.0 # interface Ethernet2/0/0 port link-type trunk port trunk allow-pass vlan 10 traffic-policy p1 inbound # interface Ethernet2/0/1 port link-type trunk port trunk allow-pass vlan 20 traffic-policy p1 inbound #interface GigabitEthernet1/0/0 ip address 192.168.4.1 255.255.255.0 #returnRouterB的配置文件 # sysname RouterB#interface GigabitEthernet1/0/0 ip address 192.168.4.2 255.255.255.0 # ip route-static 192.168.2.0 255.255.255.0 192.168.4.1ip route-static 192.168.3.0 255.255.255.0 192.168.4.1#return
| 
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
成长值: 63415
发表于 2021-10-26 10:18:56
置顶卡
喧嚣卡
变色卡
千斤顶
发表于 2021-10-27 15:08:22
