所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S12700 V200R013C00 命令参考

本文档介绍了设备中各特性的配置命令,包括每条命令的功能、格式、参数、视图、缺省级别、使用指南、举例和相关命令。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
报文过滤配置命令

报文过滤配置命令

命令支持情况

默认所有款型均支持本章节命令,如有个别命令行或参数存在差异,请详见具体命令行中的说明。

deny | permit

命令功能

deny | permit命令用来根据流分类对业务报文进行访问控制。

  • deny用来禁止匹配指定规则的业务流通过。
  • permit对匹配规则的报文不做任何动作,按原来策略转发。

undo { deny | permit }命令用来取消根据流分类对业务报文进行访问控制。

缺省情况下,设备不根据流分类对业务报文进行访问控制。

命令格式

deny | permit

undo { deny | permit }

参数说明

视图

流行为视图

缺省级别

2:配置级

使用指南

应用场景

设备的访问控制功能由流策略实现,即可以通过使用带有deny | permit命令的策略来实现防火墙过滤。命令deny | permit仅对业务数据报文进行过滤,对上送CPU的控制报文(如STP中的BPDU)不做任何处理。

注意事项

为匹配ACL规则的报文指定报文过滤动作时,如果此ACL中的rule规则配置为permit,则设备对此报文采取的动作由流行为中配置的denypermit决定;如果此ACL中的rule规则配置为deny,则无论流行为中配置了denypermit,此报文都被丢弃。

为匹配ACL规则的报文指定报文过滤动作为denypermit时,如果此ACL中的rule规则包含logging字段,则报文被丢弃或转发时会记录日志。

如果包含deny动作的流策略应用到出方向,则会导致由CPU发送的ICMP、OSPF、BGP、RIP、SNMP、Telnet等协议控制报文被丢弃,相关协议的功能会受到影响。

同一流行为下,流动作deny和其他流动作互斥。设备在添加其他流动作(如remark等)时,需要确保当前流行为中不包含流动作deny;如果已经包含流动作deny,则在添加其他流动作前需首先执行流动作permit

使用实例

# 配置流策略p1,禁止VLAN ID为2的报文通过接口GE1/0/1

<HUAWEI> system-view
[HUAWEI] traffic classifier c1
[HUAWEI-classifier-c1] if-match vlan-id 2
[HUAWEI-classifier-c1] quit
[HUAWEI] traffic behavior b1
[HUAWEI-behavior-b1] deny
[HUAWEI-behavior-b1] quit
[HUAWEI] traffic policy p1
[HUAWEI-trafficpolicy-p1] classifier c1 behavior b1
[HUAWEI-trafficpolicy-p1] quit
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] traffic-policy p1 inbound
相关主题
翻译
下载文档
更新时间:2019-04-08

文档编号:EDOC1100065708

浏览量:11150

下载量:202

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页