Поддерживаемые продукты и версии
Этот пример относится к CE12800, CE6800, CE5800 по версии V100R001C00 или более поздней версии.
Этот пример относится к CE7800 по версии V100R003C00 или более поздней версии.
Этот пример относится к CE8800 по версии V100R006C00 или более поздней версии.
Как показано на Рисунке 2-36, пользователи подключены к Switch через 10GE1/0/1. Switch должен отбросить определенные пакеты, отправленные пользователями (четыре байта позади 14-го байта в пакете соответствуют 0x0180C200).
Рисунок 2-36 Использование пользовательских списков ACL для фильтрации указанных пакетов
План конфигурации
На Switch выполняются следующие настройки. План конфигурации выглядит следующим образом:
1. Настройте пользовательский ACL и классификатор трафика на основе ACL для фильтрации определенных пакетов (четыре байта позади 14-го байта в пакете соответствуют 0x0180C200).
2. Настройте поведение трафика, чтобы отбросить пакеты, соответствующие ACL.
3. Настройте и примените политику трафика, чтобы изменения ACL и трафика вступили в силу.
1. Настройте пользовательский ACL
<HUAWEI>system-view [~HUAWEI] sysname Switch [*Switch] acl 5000 [*Switch-acl-user-5000] rule deny l2-head 0x0180C200 0xFFFFFFFF 14 [*Switch-acl-user-5000] quit
2. Создайте классификатора трафика на основе пользовательского ACL
[*Switch] traffic classifier tc1 [*Switch-classifier-tc1] if-match acl 5000 [*Switch-classifier-tc1] quit
3. # Настройте поведение трафика tb1 для отклонения пакетов.
[*Switch] traffic behavior tb1 [*Switch-behavior-tb1] deny [*Switch-behavior-tb1] quit
4. Определите политику трафика и сопоставьте классификатор трафика и поведение трафика с политикой трафика
[*Switch] traffic policy tp1 [*Switch-trafficpolicy-tp1] classifier tc1 behavior tb1 [*Switch-trafficpolicy-tp1] quit
5. Примените политику трафика к интерфейсу
[*Switch] interface 10ge 1/0/1 [*Switch-10GE1/0/1] traffic-policy tp1 inbound [*Switch-10GE1/0/1] quit [*Switch] commit
Проверка конфигурации
1. Проверьте конфигурацию о правилах ACL.
[~Switch] display acl 5000 User ACL 5000, 1 rule ACL's step is 5 rule 5 deny 0x0180c200 0xffffffff 14 (0 times matched)
2. Проверьте конфигурацию классификатора трафика.
[~Switch] display traffic classifier tc1 Traffic Classifier Information: Classifier: tc1 Type: OR Rule(s): if-match acl 5000
3. Проверьте конфигурацию политики трафика.
[~Switch] display traffic policy tp1 Traffic Policy Information: Policy: tp1 Classifier: tc1 Type: OR Behavior: tb1 Deny
Файлы конфигурации
Файл конфигурации Switch
# sysname Switch # acl number 5000 rule 5 deny 0x0180c200 0xffffffff 14 # traffic classifier tc1 type or if-match acl 5000 # traffic behavior tb1 deny # traffic policy tp1 classifier tc1 behavior tb1 precedence 5 # interface 10GE1/0/1 traffic-policy tp1 inbound # return