需求为:我需要在对应的interface vlan下过滤掉任何访问135和445端口的流量,并且其他流量能正常通过
定义acl:
acl number 3000
rule deny tcp destination-port eq 135
rule deny tcp destination-port eq 445
rule permit ip
配置流分类:
traffic classifier 1
if-match acl 3000
配置流动作:
traffic behavior 1
filter deny
配置QoS策略:
qos policy p1
classifier 1 behavior 1
调用策略:
qos apply policy p1 inbound
是否这样配置,能满足上面的需求,即过滤掉到135和445端口的流量,同时保证其他流量正常通过
这个是我的qos,主要问题在于两点:
1:定义acl那里,到底需不需要写rule permit ip这条策略,主要用于保证未被匹配的策略默认放行
2:如果需要协商,流动作那里,因为是deny,会不会把permit ip的全部给deny?
我用HCL测试了下,不写rule permit ip是可以通的,但是是v7的版本的,不知道v5一样不,请有实践的告诉下谢谢了
(0)
你这acl有问题
acl应该是通过permit 去匹配相应的端口号
(0)
那就改成permit?然后最后不要有rule permit ip?
不需要
permit ip 就匹配所有了
那不写不会造成没有被acl匹配的策略被阻断吧?
1. acl的规则里应该是允许访问,permit
2. 在流分类当中,匹配这条acl,
3. 流行为里面,要执行拒绝访问,也就是deny, 这里可以理解为当流分类要允许访问那几个端口的时候,流行为对这类分类流量进行了拒绝放行,也就是不放通过
3. 完了将流分类和流行为应用到qos策略,完了将qos策略应用到接口下,
(0)
不会的
那就改成permit?然后最后不要有rule permit ip? acl里面没有匹配到的,默认就不通过这个qos过滤了?
这个不需要写,如果你的这个acl没有在接口执行nat转换的话,写上那个没有意义
那不写不会造成没有被acl匹配的策略被阻断吧?
不会的
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
那不写不会造成没有被acl匹配的策略被阻断吧?