评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
应用用户自定义ACL过滤特定报文流示例
组网需求
如图3-8所示,Switch通过10GE1/0/1接口连接用户。要求Switch能对来自用户的特定报文(从二层报文头偏移14个字节开始匹配的字符串内容为0x0180C200的报文)进行过滤,并拒绝该报文通过。
配置思路
采用如下的思路在Switch上进行配置:
- 配置用户自定义ACL和基于ACL的流分类,使设备可以对特定报文(从二层报文头偏移14个字节开始匹配的字符串是0x0180C200的报文)进行过滤。
- 配置流行为,拒绝匹配上ACL的报文通过。
- 配置并应用流策略,使ACL和流行为生效。
操作步骤
- 配置ACL
# 配置符合要求的用户自定义ACL。
<HUAWEI> system-view [~HUAWEI] sysname Switch [*Switch] acl 5000 [*Switch-acl-user-5000] rule deny l2-head 0x0180C200 0xFFFFFFFF 14 [*Switch-acl-user-5000] quit
- 配置基于用户自定义ACL的流分类
# 配置流分类tc1,对匹配ACL 5000的报文进行分类。
[*Switch] traffic classifier tc1 [*Switch-classifier-tc1] if-match acl 5000 [*Switch-classifier-tc1] quit
- 配置流行为
# 配置流行为tb1,动作为拒绝报文通过。
[*Switch] traffic behavior tb1 [*Switch-behavior-tb1] deny [*Switch-behavior-tb1] quit
- 配置流策略
# 定义流策略,将流分类与流行为关联。
[*Switch] traffic policy tp1 [*Switch-trafficpolicy-tp1] classifier tc1 behavior tb1 [*Switch-trafficpolicy-tp1] quit
- 在接口下应用流策略
# 在接口10GE1/0/1的入方向应用流策略。
[*Switch] interface 10ge 1/0/1 [*Switch-10GE1/0/1] traffic-policy tp1 inbound [*Switch-10GE1/0/1] quit [*Switch] commit
- 验证配置结果
# 查看ACL规则的配置信息。
[~Switch] display acl 5000 User ACL 5000, 1 rule ACL's step is 5 rule 5 deny 0x0180c200 0xffffffff 14 (0 times matched)
# 查看流分类的配置信息。
[~Switch] display traffic classifier tc1 Traffic Classifier Information: Classifier: tc1 Type: OR Rule(s): if-match acl 5000
# 查看流策略的配置信息。
[~Switch] display traffic policy tp1 Traffic Policy Information: Policy: tp1 Classifier: tc1 Type: OR Behavior: tb1 Deny
