在跨域VPN-OptionC组网中,SR88设备作为PE设备,如何控制终端间的访问?
示例:允许1.1.1.0/24访问2.2.2.0/24,不允许1.1.1.0/24访问其他网段
目前较新的高端路由器版本已支持入方向匹配MPLS内层IP功能,可以直接配置QOS执行对应动作
acl advanced 3000
rule 0 permit ip source 1.1.1.0 0.0.0.255 destination 2.2.2.0 0.0.0.255
///与traffic behavior 1联动,匹配允许访问的地址
#
acl advanced 3001
rule permit ip ///与traffic behavior 2联动,匹配不允许访问的地址
#
traffic classifier 1 operator and
if-match acl 3000 mpls-inner ///匹配MPLS报文的内层报文信息
#
traffic classifier 2 operator and
if-match acl 3001 mpls-inner ///匹配MPLS报文的内层报文信息
#
traffic behavior 1
filter permit
#
traffic behavior 2
filter deny
#
qos policy 1
classifier 1 behavior 1 ///匹配acl 3000中的地址,允许访问
classifier 2 behavior 2 ///匹配acl 3001中的地址,不允许访问
#
interface GigabitEthernet0/2
qos apply policy 1 inbound
//在接口入方向调用qos policy
#
mpls-inner:用来指定ACL规则用于匹配MPLS报文的内层报文信息,未配置mpls-inner则表示ACL规则匹配的是未经过封装报文的信息或封装后的MPLS报文的外层报文头信息,此配置仅满足以下条件时生效:
1.匹配IPV4高级ACL规则
2.QOS策略应用在MPLS网络Transit或者Egress节点接口的入方向上
3.配置在CSPEX类单板(CSPEX-1204除外),SPE类单板和CEPC类单板上
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作