Acl加端口过滤问题
- 0关注
- 1收藏,1195浏览
问题描述:
h3c s5560s-52p-ei想做危险端口过滤,acl做完端口拒绝以后,没法在物理接口下调用
- 2021-03-03提问
- 举报
-
(0)
可以在三层vlan视图下应用 或者全局下应用
如下:
qos apply policy deny_445 global inbound // 全局调用策略 deny_445
qos vlan-policy
deny_445
vlanid inbound //vlanif 下调用
- 2021-03-03回答
- 评论(0)
- 举报
-
(0)
您好,请知:
可以在int vlan下调用或者全局使用。
另外也可以通过QOS进行配合使用。
[SW1]acl basic 2000
[SW1-acl-ipv4-basic-2000]rule 0 permit source 172.16.10.0 0.0.0.255
[SW1-acl-ipv4-basic-2000]quit
[SW1]traffic classifier 1
[SW1-classifier-1]if-match acl 2000
[SW1-classifier-1]quit
[SW1]traffic behavior 1
[SW1-behavior-1]remark local-precedence 7
[SW1-behavior-1]quit
[SW1]qos policy 1
[SW1-qospolicy-1]classifier 1 behavior 1
[SW1-qospolicy-1]quit
[SW1]qos vlan-policy 1 vlan 10 inbound
- 2021-03-03回答
- 评论(2)
- 举报
-
(0)
Vlan虚接口下,也不能调用。刚试了试只能用您说的qos,设备版本是v 7. 1. 070 r6138p01
Vlan虚接口下,也不能调用。刚试了试只能用您说的qos,设备版本是v 7. 1. 070 r6138p01
可以在vlan虚接口下调用
- 2021-03-03回答
- 评论(5)
- 举报
-
(0)
Vlan虚接口下。也不行, 提示failed to apply ipv4 acl
做的是包过滤么
是危险端口,例如445 3389这些。这边设备的版本是v7. 1. 070 release 6138p01
# 创建IPv4基本ACL 2000,配置拒绝源IP地址为10.1.1.1的报文通过的规则。 [H3C] acl basic 2000 [H3C-acl-ipv4-basic-2000] rule deny source 10.1.1.1 0 [H3C-acl-ipv4-basic-2000] quit 说明:如果acl number 2000无法写上去的话可能是由于交换机的软件版本不同导致,此时修改为acl basic 2000的写法就可以了。 # 配置包过滤功能,应用IPv4基本ACL 2000对端口GigabitEthernet1/0/1收到的IPv4报文进行过滤。 [H3C] interface gigabitethernet 1/0/1 [H3C-GigabitEthernet1/0/1] packet-filter 2000 inbound
危险端口应该是只能用高级acl做吧。我刚才测试了一下,建了一个acl 2000 可以在物理接口下用调用,用acl 3500 就提示不支持
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明