组网需求如图1所示,Router为企业网关,企业内部用户通过Router访问互联网。现要求限制局域网内某些主机访问互联网,但是由于这些主机可以变换IP地址,所以通过防火墙限制不能有效防范,最合适的做法是基于源MAC地址进行限制。在本例中可以实现限制某些主机访问互联网,但是可以访问网关。
图1 配置组网图
操作步骤
Router的配置
sysname Router
#
vlan batch 10
#
acl number 3001 //配置编号为3001的编号型访问控制列表
rule 1 permit ip destination 10.1.1.0 0.0.0.255 //配置规则1,指定匹配目的地址为10.1.1.1/24(即网关地址)
#
traffic classifier gate operator and
if-match acl 3001 //配置流分类gate,指定匹配ACL 3001
traffic classifier mac1 operator and
if-match source-mac 0015-c50d-0001 //配置流分类mac1,指定匹配源地址为0015-c50d-0001
traffic classifier mac2 operator and
if-match source-mac 0015-c50d-0002 //配置流分类mac2,指定匹配源地址为0015-c50d-0002
traffic classifier mac3 operator and
if-match source-mac 0015-c50d-0003 //配置流分类mac3,指定匹配源地址为0015-c50d-0003
#
traffic behavior p1
permit //配置流行为p1为允许通过
traffic behavior d1
deny //配置流行为d1为拒绝并丢弃
#
traffic policy myqos //配置流策略myqos
classifier gate behavior p1 //绑定流分类gate与流行为p1
classifier mac1 behavior d1 //绑定流分类mac1与流行为d1
classifier mac2 behavior d1 //绑定流分类mac2与流行为d1
classifier mac3 behavior d1 //绑定流分类mac3与流行为d1
#
interface Vlanif10
ip address 10.1.1.1 255.255.255.0
traffic-policy myqos inbound //在接口入方向应用流策略myqos
#
interface Ethernet2/0/0
port link-type trunk //配置接口的链路类型为Trunk
port trunk allow-pass vlan 10 //配置Trunk类型接口加入vlan 10
#
验证配置结果
# 执行display traffic policy user-defined 命令查看配置的流策略信息。
在被限制的主机上可以成功Ping通网关地址,但不能Ping通非LAN内的IP地址。
配置注意事项
请配置Switch与Router对接的接口为Trunk类型接口,并加入VLAN10。
由于在接口下应用流策略后,报文依次匹配流策略中的流分类,所以在配置流策略myqos时,必须先配置允许访问网关的流分类和流行为,再配置禁止访问互联网的流分类和流行为。
