問題描述:
這樣配置是不是除 acl 3610 裏的地址外 其餘地址都訪問不了 www 443 8080 dns 了
#
traffic classifier 123_http_deny operator and
if-match acl 3600
#
traffic classifier 123_http_permit operator and
if-match acl 3610
#
traffic behavior 123_http_deny
filter deny
#
traffic behavior 123_http_permit
filter permit
#
qos policy 123_http_deny
classifier 123_http_permit behavior 123_http_permit
classifier 123_http_deny behavior 123_http_deny
#
acl advanced 3600
rule 5 permit tcp destination-port eq www
rule 10 permit tcp destination-port eq dns
rule 15 permit udp destination-port eq dns
rule 20 permit tcp destination-port eq 8080
rule 25 permit tcp destination-port eq 443
#
acl advanced 3610
rule 5 permit tcp destination 10.1.1.10 destination-port eq 443
rule 10 permit tcp destination 10.1.1.1 0 destination-port eq 8080
rule 15 permit tcp destination 10.1.1.1 0 destination-port eq www
- 2025-04-29提問
- 舉報
-
(0)
最佳答案
流量過濾配置限製和指導
設備支持基於接口、PVC和控製平麵應用QoS策略配置流量過濾。
8.3 配置流量過濾
(1) 進入係統視圖。
system-view
(2) 定義類。
a. 創建一個類,並進入類視圖。
traffic classifier classifier-name [ operator { and | or } ]
b. 定義匹配數據包的規則。
if-match [ not ] match-criteria
缺省情況下,未定義匹配數據包的規則。
具體規則的介紹,請參見“QoS命令”中的if-match命令。
c. 退回係統視圖。
quit
(3) 定義流行為。
a. 創建一個流行為,並進入流行為視圖。
traffic behavior behavior-name
b. 配置流量過濾動作。
filter { deny | permit }
缺省情況下,未配置流量過濾動作。
如果配置了filter deny命令,則在該流行為視圖下配置的其他流行為(除流量統計外)都不會生效。
c. 退回係統視圖。
quit
(4) 定義策略。
a. 創建策略並進入策略視圖。
qos policy policy-name
b. 在策略中為類指定采用的流行為。
classifier classifier-name behavior behavior-name
缺省情況下,未指定類對應的流行為。
c. 退回係統視圖。
quit
(5) 應用QoS策略。
缺省情況下,未應用QoS策略。
(6) (可選)顯示流量過濾的相關配置信息。
(獨立運行模式)
display traffic behavior user-defined [ behavior-name ] [ slot slot-number ]
(IRF模式)
display traffic behavior user-defined [ behavior-name ] [ chassis chassis-number slot slot-number ]
8.4 流量過濾典型配置舉例
8.4.1 流量過濾基本組網配置舉例
1. 組網需求
Host通過接口GigabitEthernet1/0/1接入設備Device。
配置流量過濾功能,對接口GigabitEthernet1/0/1接收的目的端口號等於21的TCP報文進行丟棄。
2. 組網圖
圖8-1 流量過濾基本組網圖
3. 配置步驟
# 定義高級ACL 3000,匹配目的端口號等於21的數據流。
<Device> system-view
[Device] acl advanced 3000
[Device-acl-ipv4-adv-3000] rule 0 permit tcp destination-port eq 21
[Device-acl-ipv4-adv-3000] quit
# 定義類classifier_1,匹配高級ACL 3000。
[Device] traffic classifier classifier_1
[Device-classifier-classifier_1] if-match acl 3000
[Device-classifier-classifier_1] quit
# 定義流行為behavior_1,動作為流量過濾(deny),對數據包進行丟棄。
[Device] traffic behavior behavior_1
[Device-behavior-behavior_1] filter deny
[Device-behavior-behavior_1] quit
# 定義策略policy,為類classifier_1指定流行為behavior_1。
[Device] qos policy policy
[Device-qospolicy-policy] classifier classifier_1 behavior behavior_1
[Device-qospolicy-policy] quit
# 將策略policy應用到端口GigabitEthernet1/0/1的入方向上。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] qos apply policy policy inbound
- 2025-04-30回答
- 評論(0)
- 舉報
-
(0)
根據提供的配置信息,交換機配置的邏輯如下:
ACL 3600 的作用是:
- rule 5 允許訪問WWW端口(80)的TCP流量
- rule 10 允許訪問未明確顯示的端口(根據問號推測可能是443、8080或DNS端口)
QoS策略 的執行順序是:
- 優先執行
123_http_permit(匹配ACL 3610的流量允許) - 後續執行
123_http_deny(匹配ACL 3600的流量拒絕)
- 優先執行
實際效果:
- ACL 3610中定義的源地址可以訪問WWW(80)、rule10定義端口(如443/8080/DNS)
- 其他未在ACL 3610定義的地址:
- 訪問WWW(80)/rule10端口時會被ACL 3600匹配,觸發filter deny動作
- 訪問其他端口不受此策略限製(仍按默認轉發)
關鍵注意事項:
- 當前ACL 3600隻明確拒絕了WWW(80)和rule10端口(需確認rule10是否包含443/8080/53等)
- 如果rule10未覆蓋443/8080/DNS端口,這些端口的流量將不會被拒絕
- 默認ACL規則是"未匹配的流量允許通過",需要確認是否配置了
rule 15 deny ip等兜底拒絕規則
建議補充ACL 3600的完整配置,特別是rule 10的端口定義,並檢查是否配置了兜底的拒絕規則,才能確保非白名單地址被全麵限製訪問指定服務端口。
- 2025-04-29回答
- 評論(0)
- 舉報
-
(0)
暫無評論
編輯答案
親~登錄後才可以操作哦!
確定你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作
舉報
×
侵犯我的權益
×
侵犯了我企業的權益
×
- 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
- 3. 是哪家企業?(營業執照,單位登記證明等證件)
- 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
抄襲了我的內容
×
原文鏈接或出處
誹謗我
×
- 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
對根叔社區有害的內容
×
不規範轉載
×
舉報說明
暫無評論