问题描述:
这样配置是不是除 acl 3610 里的地址外 其余地址都访问不了 www 443 8080 dns 了
#
traffic classifier 123_http_deny operator and
if-match acl 3600
#
traffic classifier 123_http_permit operator and
if-match acl 3610
#
traffic behavior 123_http_deny
filter deny
#
traffic behavior 123_http_permit
filter permit
#
qos policy 123_http_deny
classifier 123_http_permit behavior 123_http_permit
classifier 123_http_deny behavior 123_http_deny
#
acl advanced 3600
rule 5 permit tcp destination-port eq www
rule 10 permit tcp destination-port eq dns
rule 15 permit udp destination-port eq dns
rule 20 permit tcp destination-port eq 8080
rule 25 permit tcp destination-port eq 443
#
acl advanced 3610
rule 5 permit tcp destination 10.1.1.10 destination-port eq 443
rule 10 permit tcp destination 10.1.1.1 0 destination-port eq 8080
rule 15 permit tcp destination 10.1.1.1 0 destination-port eq www
- 2025-04-29提问
- 举报
-
(0)
最佳答案
流量过滤配置限制和指导
设备支持基于接口、PVC和控制平面应用QoS策略配置流量过滤。
8.3 配置流量过滤
(1) 进入系统视图。
system-view
(2) 定义类。
a. 创建一个类,并进入类视图。
traffic classifier classifier-name [ operator { and | or } ]
b. 定义匹配数据包的规则。
if-match [ not ] match-criteria
缺省情况下,未定义匹配数据包的规则。
具体规则的介绍,请参见“QoS命令”中的if-match命令。
c. 退回系统视图。
quit
(3) 定义流行为。
a. 创建一个流行为,并进入流行为视图。
traffic behavior behavior-name
b. 配置流量过滤动作。
filter { deny | permit }
缺省情况下,未配置流量过滤动作。
如果配置了filter deny命令,则在该流行为视图下配置的其他流行为(除流量统计外)都不会生效。
c. 退回系统视图。
quit
(4) 定义策略。
a. 创建策略并进入策略视图。
qos policy policy-name
b. 在策略中为类指定采用的流行为。
classifier classifier-name behavior behavior-name
缺省情况下,未指定类对应的流行为。
c. 退回系统视图。
quit
(5) 应用QoS策略。
缺省情况下,未应用QoS策略。
(6) (可选)显示流量过滤的相关配置信息。
(独立运行模式)
display traffic behavior user-defined [ behavior-name ] [ slot slot-number ]
(IRF模式)
display traffic behavior user-defined [ behavior-name ] [ chassis chassis-number slot slot-number ]
8.4 流量过滤典型配置举例
8.4.1 流量过滤基本组网配置举例
1. 组网需求
Host通过接口GigabitEthernet1/0/1接入设备Device。
配置流量过滤功能,对接口GigabitEthernet1/0/1接收的目的端口号等于21的TCP报文进行丢弃。
2. 组网图
图8-1 流量过滤基本组网图
3. 配置步骤
# 定义高级ACL 3000,匹配目的端口号等于21的数据流。
<Device> system-view
[Device] acl advanced 3000
[Device-acl-ipv4-adv-3000] rule 0 permit tcp destination-port eq 21
[Device-acl-ipv4-adv-3000] quit
# 定义类classifier_1,匹配高级ACL 3000。
[Device] traffic classifier classifier_1
[Device-classifier-classifier_1] if-match acl 3000
[Device-classifier-classifier_1] quit
# 定义流行为behavior_1,动作为流量过滤(deny),对数据包进行丢弃。
[Device] traffic behavior behavior_1
[Device-behavior-behavior_1] filter deny
[Device-behavior-behavior_1] quit
# 定义策略policy,为类classifier_1指定流行为behavior_1。
[Device] qos policy policy
[Device-qospolicy-policy] classifier classifier_1 behavior behavior_1
[Device-qospolicy-policy] quit
# 将策略policy应用到端口GigabitEthernet1/0/1的入方向上。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] qos apply policy policy inbound
- 2025-04-30回答
- 评论(0)
- 举报
-
(0)
根据提供的配置信息,交换机配置的逻辑如下:
ACL 3600 的作用是:
- rule 5 允许访问WWW端口(80)的TCP流量
- rule 10 允许访问未明确显示的端口(根据问号推测可能是443、8080或DNS端口)
QoS策略 的执行顺序是:
- 优先执行
123_http_permit(匹配ACL 3610的流量允许) - 后续执行
123_http_deny(匹配ACL 3600的流量拒绝)
- 优先执行
实际效果:
- ACL 3610中定义的源地址可以访问WWW(80)、rule10定义端口(如443/8080/DNS)
- 其他未在ACL 3610定义的地址:
- 访问WWW(80)/rule10端口时会被ACL 3600匹配,触发filter deny动作
- 访问其他端口不受此策略限制(仍按默认转发)
关键注意事项:
- 当前ACL 3600只明确拒绝了WWW(80)和rule10端口(需确认rule10是否包含443/8080/53等)
- 如果rule10未覆盖443/8080/DNS端口,这些端口的流量将不会被拒绝
- 默认ACL规则是"未匹配的流量允许通过",需要确认是否配置了
rule 15 deny ip等兜底拒绝规则
建议补充ACL 3600的完整配置,特别是rule 10的端口定义,并检查是否配置了兜底的拒绝规则,才能确保非白名单地址被全面限制访问指定服务端口。
- 2025-04-29回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论