华三S5510同别的华三交换机acl 运用到vlan互访限制中配置不一样,它是采用qos进行配置,没有packet-filter命令。qos配置先定义类,类中定义匹配哪个acl策略,再定义流行为,然后新建一个qos策略,把类和流行为加入这个qos策略里,最后把定义好的qos策略运用在vlan中。
例如:vlan2:192.168.2.x
vlan3:192.168.3.x
vlan2和vlan3之间不允许互访
配置:
acl number 2001 \\配置一个2001的acl策略
rule 0 deny source 192.168.2.0 0.0.0.255 \\拒绝原地址为192.168.2.0数据包通过
acl number 3001 \\配置一个2001的acl策略
rule 0 permit ip \\允许所有数据包通过
traffic classifier cl22 \\定义一个cl22(名字可以自定义)的类
if-match acl 2001 \\类中定义匹配acl 2001规则
traffic behavior bl22 \\定义一个bl22(名字可以自定义)的流行为
filter deny \\数据包拒绝通过
traffic classifier cl23 \\定义一个cl23(名字可以自定义)的类
if-match acl 3001 \\类中定义匹配acl 3001规则
traffic behavior bl23 \\定义一个bl22(名字可以自定义)的流行为
filter permit \\数据包允许通过
qos policy q20 \\定义一个名为q20的qos策略
classifier cl22 behavior bl22 \\把cl22和bl22加入q20里
classifier cl23 behavior bl23 \\把cl23和bl23加入q20里
\\这里先拒绝vlan2的数据包通过,再允许除vlan2的数据包通过
qos vlan-policy q20 vlan 3 inbound \\把q20策略应用于vlan2 in的方向
这样vlan3就把从vlan2那里发送过来的数据包过滤掉,使得vlan2里的所有主机不能访问vlan3。
阅读(3211) | 评论(0) | 转发(0) |
