思科设备可以直接在接口下配置ACL,华为的设备得先配ACL,然后再配流分类,把ACL和流分类绑定起来。再配流行为和流策略,最后把策略应用到接口下。ACL才能生效。
步骤1 配置ACL
[Quidway] acl 5000
[Quidway-acl-user-5000] rule deny ip source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
[Quidway-acl-user-5000] quit
步骤2 配置基于用户自定义ACL 的流分类
# 配置流分类tc1,对匹配ACL 5000 的报文进行分类。
[Quidway] traffic classifier tc1
[Quidway-classifier-tc1] if-match acl 5000
[Quidway-classifier-tc1] quit
步骤3 配置流行为
# 配置流行为tb1,动作为拒绝报文通过。
[Quidway] traffic behavior tb1
[Quidway-behavior-tb1] deny
[Quidway-behavior-tb1] quit
步骤4 配置流策略
# 定义流策略,将流分类与流行为关联。
[Quidway] traffic policy tp1
[Quidway-trafficpolicy-tp1] classifier tc1 behavior tb1
[Quidway-trafficpolicy-tp1] quit
步骤5 在接口下应用流策略
# 在接口GE1/0/1 下应用流策略。
[Quidway] interface gigabitethernet 1/0/1
[Quidway-GigabitEthernet1/0/1] traffic-policy tp1 inbound
[Quidway-GigabitEthernet1/0/1] quit
可以用ACL过滤,配好了ACL还是应用于接口方向。比如in方向。
acl number 3000
rule 50 permit ip source 192.168.0.0 0.0.0.255 destination 192.168.0.0 0.0.0.255
rule 60 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 70 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
rule 80 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
rule 90 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.4.0 0.0.0.255
rule 100 deny ip source 192.168.0.0 0.0.255.255 destination 192.168.0.0 0.0.255.255
rule 110 permit ip
什么路由器、SRG 还是USG ?可以加在不同的域里面就可以了。
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024