分类: 系统运维
2011-10-20 08:55:04
在S5600系列交换机上,还可以配置在VLAN上应用ACL。VLAN上应用ACL可以实现报文过滤的功能。用户可对VLAN内所有端口上的报文进行过滤。
在VLAN上应用ACL之前需要首先定义ACL。定义ACL的配置请参见19.2节介绍。
配置过程在S5600系列交换机上,在VLAN上应用ACL的配置过程如表19-16所示。
表19-16 在VLAN上应用ACL
|
命令 |
说明 |
Step 1 |
system-view |
进入系统视图 |
Step 2 |
packet-filter vlan vlan-id inbound acl-rule |
在VLAN上应用ACL |
表中的“packet-filter vlan”命令用来在VLAN上应用ACL,对VLAN中的所有端口上的数据包进行过滤。可用“undo packet-filter vlan”命令用来取消ACL在VLAN上的应用。它的可选项和参数解释如下:
n vlan-id:VLAN编号。
n inbound:表示对VLAN内所有端口接收的数据包进行过滤。
n acl-rule:应用的ACL,可以是多种ACL的组合。组合方式说明参见表19-11。
当用户需要在某一个VLAN内的所有端口上应用同一条ACL时,可以使用“packet-filter vlan”命令来批量下发ACL,减少配置的工作量。
综合配置举例下面是一个使用“packet-filter vlan”命令在VLAN 10上应用基本ACL 2000中的所有规则,对VLAN 10中的所有端口接收的数据包进行过滤。假设VLAN 10和基本ACL 2000已经创建并且相关规则已经存在的示例。
System View: return to User View with Ctrl+Z.
[H3C] packet-filter vlan 10 inbound ip-group 2000
下面是一个使用“packet-filter vlan”命令在VLAN 20上应用二层ACL 4000中的规则1,对VLAN 20中的所有端口接收的数据包进行过滤。假设VLAN 20和二层ACL 4000已经创建并且相关规则已经存在的示例。
[H3C] packet-filter vlan 20 inbound link-group 4000 rule 1
下面是一个使用“packet-filter vlan”命令在VLAN 30上应用用户自定义ACL 5000中的规则2,对VLAN 30中的所有端口接收的数据包进行过滤。假设VLAN 30和用户自定义ACL 5000已经创建并且相关规则已经存在的示例。
[H3C] packet-filter vlan 30 inbound user-group 5000 rule 2
下面是一个使用“packet-filter vlan”命令在VLAN 40上应用高级ACL 3000中的规则1和二层ACL 4000中的规则2,对VLAN 40中的所有端口接收的数据包进行过滤。假设VLAN 40、高级ACL 3000和二层ACL 4000已经创建并且相关规则已经存在的示例。
[H3C] packet-filter vlan 40 inbound ip-group 3000 rule 1 link-group 4000 rule 2
完成上述配置后,用户可以使用display packet-filter命令来查看包过滤的应用信息。
以下示例是在S5600系列交换机的VLAN 1的入方向上应用ACL 2000进行包过滤。
[Sysname] packet-filter vlan 1 inbound ip-group 2000