ACL技术总结-创新互联

1、ACL的全称是访问控制列表,本质上是定义一组策略,以便指导报文在交换机内部的转发行为。

创新互联公司坚持“要么做到,要么别承诺”的工作理念,服务领域包括:成都网站制作、网站建设、企业官网、英文网站、手机端网站、网站推广等服务,满足客户于互联网时代的阿鲁科尔沁网站设计、移动媒体设计的需求,帮助企业找到有效的互联网解决方案。努力成为您成熟可靠的网络建设合作伙伴!

2、要配置策略,首先要明确ACL应用的对象,可以是针对端口,也可以是针对特殊的一条流。

   针对端口,就是指端口上收发的所有报文。

   针对一条流,就是指符合特征的报文。

3、明确了对象后,需要明确策略的行为,即满足了条件后的报文,做什么动作。

   动作可以是:限速、转发、丢弃、镜像、重定向、策略路由、修改优先级、修改VLAN ID、报文统计(流统)等。

4、策略都配置好之后,就需要把策略应用到端口上。

5、为了方便管理,根据报文的特征值的地方,对ACL的编号范围进行人为规定。

    

6、所有的动作可以如下:

   

7、配置举例:

# 定义基本ACL 2000,对源IP地址为2.1.1.1的报文进行分类。

system-view

[DeviceA] acl number 2000

[DeviceA-acl-basic-2000] rule permit source 2.1.1.1 0

[DeviceA-acl-basic-2000] quit

# 定义基本ACL 2001,对源IP地址为2.1.1.2的报文进行分类。

[DeviceA] acl number 2001

[DeviceA-acl-basic-2001] rule permit source 2.1.1.2 0

[DeviceA-acl-basic-2001] quit

# 定义类classifier_1,匹配基本ACL 2000。

[DeviceA] traffic classifier classifier_1

[DeviceA-classifier-classifier_1] if-match acl 2000

[DeviceA-classifier-classifier_1] quit

# 定义类classifier_2,匹配基本ACL 2001。

[DeviceA] traffic classifier classifier_2

[DeviceA-classifier-classifier_2] if-match acl 2001

[DeviceA-classifier-classifier_2] quit

# 定义流行为behavior_1,动作为重定向至200.1.1.2。

[DeviceA] traffic behavior behavior_1

[DeviceA-behavior-behavior_1] redirect next-hop 200.1.1.2

[DeviceA-behavior-behavior_1] quit

# 定义流行为behavior_2,动作为重定向至201.1.1.2。

[DeviceA] traffic behavior behavior_2

[DeviceA-behavior-behavior_2] redirect next-hop 201.1.1.2

[DeviceA-behavior-behavior_2] quit

# 定义策略policy,为类classifier_1指定流行为behavior_1,为类classifier_2指定流行为behavior_2。

[DeviceA] qos policy policy

[DeviceA-qospolicy-policy] classifier classifier_1 behavior behavior_1

[DeviceA-qospolicy-policy] classifier classifier_2 behavior behavior_2

[DeviceA-qospolicy-policy] quit

# 将策略policy应用到端口GigabitEthernet 3/0/1的入方向上。

[DeviceA] interface GigabitEthernet 3/0/1

[DeviceA-GigabitEthernet 3/0/1] qos apply policy policy inbound


网页标题:ACL技术总结-创新互联
网页地址:http://ybzwz.com/article/ddhdsd.html