问题描述:
需求为:我需要在对应的interface vlan下过滤掉任何访问135和445端口的流量,并且其他流量能正常通过
定义acl:
acl number 3000
rule deny tcp destination-port eq 135
rule deny tcp destination-port eq 445
rule permit ip
配置流分类:
traffic classifier 1
if-match acl 3000
配置流动作:
traffic behavior 1
filter deny
配置QoS策略:
qos policy p1
classifier 1 behavior 1
调用策略:
qos apply policy p1 inbound
是否这样配置,能满足上面的需求,即过滤掉到135和445端口的流量,同时保证其他流量正常通过
这个是我的qos,主要问题在于两点:
1:定义acl那里,到底需不需要写rule permit ip这条策略,主要用于保证未被匹配的策略默认放行
2:如果需要协商,流动作那里,因为是deny,会不会把permit ip的全部给deny?
我用HCL测试了下,不写rule permit ip是可以通的,但是是v7的版本的,不知道v5一样不,请有实践的告诉下谢谢了
- 2024-03-13提问
- 举报
-
(0)
你这acl有问题
acl应该是通过permit 去匹配相应的端口号
- 2024-03-13回答
- 评论(4)
- 举报
-
(0)
那就改成permit?然后最后不要有rule permit ip?
不需要
permit ip 就匹配所有了
那不写不会造成没有被acl匹配的策略被阻断吧?
1. acl的规则里应该是允许访问,permit
2. 在流分类当中,匹配这条acl,
3. 流行为里面,要执行拒绝访问,也就是deny, 这里可以理解为当流分类要允许访问那几个端口的时候,流行为对这类分类流量进行了拒绝放行,也就是不放通过
3. 完了将流分类和流行为应用到qos策略,完了将qos策略应用到接口下,
- 2024-03-13回答
- 评论(4)
- 举报
-
(0)
不会的
那就改成permit?然后最后不要有rule permit ip? acl里面没有匹配到的,默认就不通过这个qos过滤了?
这个不需要写,如果你的这个acl没有在接口执行nat转换的话,写上那个没有意义
那不写不会造成没有被acl匹配的策略被阻断吧?
不会的
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
那不写不会造成没有被acl匹配的策略被阻断吧?