成功最有效的方法就是向有经验的人学习!
        找回密码
当前位置:陈桂林博客 网络 正文

S5720S交换机ACL规则使用

2020-06-18 分类:网络 阅读(2636) 评论(0)

网络结构:

vlan 10:192.168.1.0/24   #此网络中有一台DHCP和DNS服务器供所有网络使用。
vlan 20:192.168.2.0/24   #员工网
vlan 30:192.168.3.0/24   #办公室网
vlan 40:192.168.4.0/24   #研发中心网

需求:
员工仅可连接internet和使用DHCP,DNS

配置:

创建策略

sys
acl 3001
rule 5 permit udp destination 192.168.1.250 0 destination-port range bootps bootpc
rule 10 permit udp destination 192.168.1.251 0 destination-port eq dns
rule 15 permit ip destination 192.168.1.252 0
rule 20 deny ip destination 192.168.3.0 0.0.0.255
rule 30 deny ip destination 192.168.4.0 0.0.0.255
rule 40 deny ip destination 192.168.1.0 0.0.0.255
quit

在VLAN下应用流策略
配置流分类

sys
traffice classifier c1  #进入流分类视图
if-match acl 3001 #配置ACL应用于流分类
quit

配置流行为

sys
traffic behavior b1  #定义流行为并进入流行为视图
permit
quit

file

配置流策略

sys
traffic policy p1  #定义流策略并进入流策略视图
classifier c1 behavior b1   #在流策略中为指定的流分类配置所需流行为,即绑定流分类和流行为。

应用流策略

sys
vlan 20
traffic-policy p1 inbound  #应用到vlan 20的入口

通过以下命令查看策略应用

display traffic-policy applied-record p1

[CORE-SW01]dis traffic-policy applied-record p1
-------------------------------------------------
  Policy Name:   p1
  Policy Index:  0
     Classifier:c1     Behavior:b1
-------------------------------------------------
 *vlan 701
    traffic-policy p1 outbound
      slot 0    :  success
-------------------------------------------------
  Policy total applied times: 1.

举个例:
pc-1.1.1.1——1口S5720-2口—-2.2.2.1-SERVER
ACL:禁止1.1.1.1访问2.2.2.1
在1口调用,就是其入方向调用,如果要在出方向调用,那么就是在2口outbound方向调用,数据从哪里进去,从哪里出去,就根据实际调用即可,没什么其他限制
如果ACL是禁止2.2.2.1访问1.1.1.1的写法;
那就是在2口入方向调用,或者1口出方向调用,2.2.2.1访问1.1.1.1的数据,就是从2口进来,1口出去的

方式二:在全局下应用指定VLAN编号的简化流策略

可以在系统视图下,执行以下命令:

基于ACL的报文过滤

traffic-filter vlan vlan-id inbound acl xxx
traffic-filter vlan vlan-id outbound acl xxx
traffic-secure vlan vlan-id inbound acl xxx

基于ACL的流量监管

traffic-limit vlan vlan-id inbound acl xxx
traffic-limit vlan vlan-id outbound acl xxx

基于ACL的重定向

traffic-redirect vlan vlan-id inbound acl xxx

基于ACL的重标记

traffic-remark vlan vlan-id inbound acl xxx
traffic-remark vlan vlan-id outbound acl xxx

基于ACL的流量统计

traffic-statistic vlan vlan-id inbound acl xxx
traffic-statistic vlan vlan-id outbound acl xxx

基于ACL的流镜像

traffic-mirror vlan vlan-id inbound acl xxx
赞(1) 打赏
未经允许不得转载:陈桂林博客 » S5720S交换机ACL规则使用
分享到

陈桂林

CKA,CKS双认证,有多年kubernetes一线经验。 某知名企业高级DevOps工程师,K8s运维架构师,Linux集群架构专家。

相关推荐

大佬们的评论 抢沙发

取消

吐血推荐

女生也可以快速建出专业的网站

鼠标拖拽,所见即所得的编辑方式,页面灵活布局,模块自由删减,简单易用。
自主自助建站品牌,易于扩展,无限升级近千套精美网站模板,不断增加中。
自带网站空间,无需另外购买,快速开展业务。

热门专题

分类目录

猜你喜欢

全新“一站式”建站,高质量、高售后的一条龙服务

微信 抖音 支付宝 百度 头条 快手全平台打通信息流

橙子建站.极速智能建站8折购买虚拟主机

觉得文章有用就打赏一下文章作者

非常感谢你的打赏,我们将继续给力更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫打赏

微信扫一扫打赏

登录

找回密码

注册