华三 配置只允许Ap接入用户访问某个IP,怎么实现不了,哪里错了
- 1关注
- 0收藏,96浏览
问题描述:
华三 配置只允许Ap接入用户访问某个IP,怎么实现不了,哪里错了
acl number 3333
rule 0 permit ip destination 124.74.244.2 0
rule 30 deny ip
traffic classifier test operator and
if-match acl 3333
#
traffic behavior test
filter permit
#
qos policy test
classifier test behavior test
interface WLAN-ESS500
qos apply policy test inbound
ACL规则顺序错误
H3C设备按规则ID从小到大匹配,
rule 0 deny会阻断所有流量(包括目标IP)。# 修正:调整规则顺序(先放行特定IP,再拒绝其他) acl number 3333 rule 5 permit ip destination 124.74.244.2 0 # 先放行目标IP rule 10 deny ip # 再拒绝其他所有QoS行为配置错误
filter permit仅允许匹配的流量(未阻止非匹配流量)。# 修正:对匹配ACL的流量放行,其他流量拒绝 traffic behavior test filter permit # 匹配ACL3333的流量放行(规则5) traffic behavior block filter deny # 创建拒绝行为策略绑定位置错误
WLAN-ESS是虚拟接口,策略需绑定在物理接口或VLAN上。# 修正:绑定到AP连接的物理接口或用户VLAN interface GigabitEthernet1/0/1 # AP实际接入的物理端口 qos apply policy test inbound # 或绑定到用户VLAN interface Vlan-100 # 无线用户所属VLAN qos apply policy test inbound缺少默认拒绝行为
当前策略仅处理匹配ACL的流量,未限制其他流量。
# 修正:添加默认拒绝分类 traffic classifier block operator and if-match any # 匹配所有未命中规则5的流量 qos policy test classifier test behavior test # 放行124.74.244.2 classifier block behavior block # 拒绝其他所有
完整正确配置
# 1. 创建ACL(先放行后拒绝)
acl advanced 3333
rule 5 permit ip destination 124.74.244.2 0
rule 10 deny ip
# 2. 创建分类器
traffic classifier permit_class operator and
if-match acl 3333 rule 5 # 匹配放行IP
traffic classifier deny_class operator and
if-match any # 匹配所有其他流量
# 3. 创建行为
traffic behavior permit_behavior
filter permit # 允许通过
traffic behavior deny_behavior
filter deny # 拒绝并丢弃
# 4. 绑定策略
qos policy test
classifier permit_class behavior permit_behavior
classifier deny_class behavior deny_behavior
# 5. 应用到物理接口或VLAN
interface GigabitEthernet1/0/24 # AP连接的物理端口
qos apply policy test inbound
# 或
interface Vlan-200 # 无线用户VLAN
qos apply policy test inbound📌 关键验证命令
# 查看策略应用情况
display qos policy interface GigabitEthernet1/0/24
# 查看ACL匹配计数(确认规则是否生效)
display acl 3333
# 测试结果:
# - 无线用户访问124.74.244.2应通
# - 访问其他IP(如8.8.8.8)应被阻断常见问题补充
策略未绑定到正确位置
✅ 必须绑定在AP上行口或无线用户VLAN接口的入方向(
inbound)未启用全局QoS
检查全局启用QoS:
display current-configuration | include "qos enable" # 若无输出,需执行: qos enable版本兼容性问题
部分老版本需在流量行为中添加
car限制(即使仅做过滤):traffic behavior permit_behavior car cir 100000 # 添加任意值保证生效 filter permit
这样配置后 所有网站都访问不了哦
acl number 3333
rule 0 permit ip destination 124.74.244.2 0
rule 5 permit ip destination 120.253.245.3 0
rule 10 permit ip destination 180.169.248.77 0
rule 15 permit ip destination 210.13.92.214 0
rule 20 permit ip destination 116.128.200.195 0
traffic classifier permit_test operator and
if-match acl 3333
traffic classifier deny_test operator and
if-match any
#
traffic behavior permit_test
filter permit
traffic behavior deny_test
filter deny
#
qos policy test
classifier permit_test behavior permit_test
classifier deny_test behavior deny_test
interface WLAN-ESS500
qos apply policy test inbound
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论