MSR-G2路由器下发二层ACL的经验案例
一、 组网:
公司只允许源MAC地址为000f-e2e5-0b70的PC机上公网,携带其他源MAC地址的报文一律不允许通过。
PC连接RTA的Interface Vlan 1接口,RTA的G0/1接口连接公网。
使用版本:R0007P03
二、 问题描述:
使用CBQ方法下发:
使用CBQ的方法来调用二层ACL,然后通过在接口上下发qos策略,但是下发后却发现策略不生效,无法限制目标流量。
使用防火墙包过滤方法下发:
MSR-G2(V7设备)在接口上没有像V5设备中的firewall ethernet-frame-filter INTEGER<4000-4999> {inbound|outbound}这条命令,应该如何下发?
三、 过程分析:
使用CBQ方法下发:
在流分类(traffic classifier)中调用二层ACL,然后在动作中设置相应的permit/deny动作,但是CBQ方式虽然可以在接口下发,但是却无法生效,原因为CBQ方法无法直接调用二层ACL,导致流量无法匹配到相应的ACL,所以配置不生效。
使用包过滤防火墙方法下发:
V7设备中的包过滤防火墙和V5设备命令有所区别,在V7设备中,下发包过滤防火墙命令变为:packet-filter acl-number {inbound|outbound}。
四、 解决方法:
使用CBQ方法下发
遇到如上组网方式,需要在路由器的interface vlan-interface接口上做MAC地址过滤,可以使用CBQ的方法,而且必须使用如下配置:
[H3C]traffic classifier 1
[H3C-classifier-1]if-match source-mac 0001-0001-0001
因为CBQ方式无法直接调用二层ACL,所以匹配流中不能匹配二层ACL,只能够使用如上方式,在匹配流中直接调用MAC地址,这样就可以起到限制MAC地址的效果了。
完整配置:
[H3C]traffic classifier 1
[H3C-classifier-1]if-match source-mac 0001-0001-0001
[H3C-classifier-1]quit
[H3C]traffic behavior 1
[H3C-behavior-1]filter deny
[H3C-behavior-1]quit
[H3C]qos policy 1
[H3C-qospolicy-1]classifier 1 behavior 1
[H3C-qospolicy-1]qu
[H3C]interface vlan-interface 1
[H3C-Vlan-interface1]qos apply policy 1 inbound
使用包过滤防火墙方法下发:
可直接在interface vlan-interface接口下使用packet-filter命令下发二层ACl,这样是可以生效的。
包过滤防火墙工作原理:
ACL中匹配规则为permit时,如果匹配了ACL中的规则,那么直接通过;如果流量不匹配ACL中的规则,那么执行防火墙的默认动作。
ACL中匹配规则为deny是,如果匹配了ACL中的规则,那么报文直接丢弃;如果流量不匹配ACL中的规则,那么执行防火墙的默认动作。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作