Chinaunix首页 | 论坛 | 博客
  • 博客访问: 2094904
  • 博文数量: 433
  • 博客积分: 4775
  • 博客等级: 上校
  • 技术积分: 8054
  • 用 户 组: 普通用户
  • 注册时间: 2009-10-19 16:15
文章存档

2014年(9)

2013年(20)

2012年(77)

2011年(323)

2009年(4)

分类: 系统运维

2011-10-20 08:55:04

S5600系列交换机上,还可以配置在VLAN上应用ACLVLAN上应用ACL可以实现报文过滤的功能。用户可对VLAN内所有端口上的报文进行过滤。

VLAN上应用ACL之前需要首先定义ACL。定义ACL的配置请参见19.2节介绍。

配置过程

S5600系列交换机上,在VLAN上应用ACL的配置过程如表19-16所示。

19-16 VLAN上应用ACL

 

命令

说明

Step 1

system-view

进入系统视图

Step 2

packet-filter vlan vlan-id inbound acl-rule

VLAN上应用ACL

表中的packet-filter vlan命令用来在VLAN上应用ACL,对VLAN中的所有端口上的数据包进行过滤。可用undo packet-filter vlan命令用来取消ACLVLAN上的应用。它的可选项和参数解释如下:

n         vlan-idVLAN编号。

n         inbound:表示对VLAN内所有端口接收的数据包进行过滤。

n         acl-rule:应用的ACL,可以是多种ACL的组合。组合方式说明参见表19-11

当用户需要在某一个VLAN内的所有端口上应用同一条ACL时,可以使用packet-filter vlan命令来批量下发ACL,减少配置的工作量。

综合配置举例

下面是一个使用packet-filter vlan命令在VLAN 10上应用基本ACL 2000中的所有规则,对VLAN 10中的所有端口接收的数据包进行过滤。假设VLAN 10和基本ACL 2000已经创建并且相关规则已经存在的示例。

system-view

System View: return to User View with Ctrl+Z.

[H3C] packet-filter vlan 10 inbound ip-group 2000

下面是一个使用packet-filter vlan命令在VLAN 20上应用二层ACL 4000中的规则1,对VLAN 20中的所有端口接收的数据包进行过滤。假设VLAN 20和二层ACL 4000已经创建并且相关规则已经存在的示例。

[H3C] packet-filter vlan 20 inbound link-group 4000 rule 1

下面是一个使用packet-filter vlan命令在VLAN 30上应用用户自定义ACL 5000中的规则2,对VLAN 30中的所有端口接收的数据包进行过滤。假设VLAN 30和用户自定义ACL 5000已经创建并且相关规则已经存在的示例。

[H3C] packet-filter vlan 30 inbound user-group 5000 rule 2

下面是一个使用packet-filter vlan命令在VLAN 40上应用高级ACL 3000中的规则1和二层ACL 4000中的规则2,对VLAN 40中的所有端口接收的数据包进行过滤。假设VLAN 40、高级ACL 3000和二层ACL 4000已经创建并且相关规则已经存在的示例。

[H3C] packet-filter vlan 40 inbound ip-group 3000 rule 1 link-group 4000 rule 2

完成上述配置后,用户可以使用display packet-filter命令来查看包过滤的应用信息。

以下示例是在S5600系列交换机的VLAN 1的入方向上应用ACL 2000进行包过滤。

system-view

[Sysname] packet-filter vlan 1 inbound ip-group 2000

本文摘自《Catalyst交换机VLANVMPS配置与管理》第十九章
阅读(5478) | 评论(0) | 转发(0) |
0

上一篇:在端口上应用ACL

下一篇:ACL复制

给主人留下些什么吧!~~