模拟器上的ACL和traffic-filter 怎样判断是不是模拟器不能用

丸子 | 面相 | 住宅风水 | 英文歌曲 | 书籍改编电影 | 地图 | ICEY（游戏） | 任家萱 | 火影忍者 | 吉他 | 动画制作 | acg | 郭德纲 | 仙剑奇侠传 | 杨紫 | 澳门特别行政区 | 小说创作 | 电吉他 | 玄幻小说 | 西藏旅游 | 角色扮演 | 小提琴 | 实况足球 | 电视节目 | 网吧 | 毛笔书法 | 对联 | 古琴 | 王源 | 科幻小说 | 盗墓笔记（小说） | 动画电影 | 新加坡 | 台湾省 | 相声演员 | 传奇世界 | 跆拳道 | 王一博 | 国际足联世界杯 | 义乌市 | 意大利 | 赛尔号 | 手表选购 | 心理 | 羽生结弦 | 娱乐圈 | 武侠 | 剧场版 | 广场舞 | 关晓彤 | 后宫·甄嬛传（书籍） | 诸葛亮 | 中国足球 | snh48 | 中国足球协会超级联赛（csl） | 韭菜 | 艺术 | 赚钱 | 王力宏（人物） | 多肉植物 | 旅游推荐 | 武侠小说 | 配音 | 民谣 | 电视 | 奥斯卡 | 观后感 | 音乐版权 | 汤品 | 周杰伦 | 演技 | 张璐 | 赵丽颖（演员） | 运动 | 神话 | 金庸小说 | 主题曲 | 郭富城 | 字幕 | 杨凡 | 欧洲冠军联赛 | 办公室 | 日语学习 | 豆瓣电影 | 网络小说 | 英格兰足球超级联赛 | 古剑奇谭 | 网球 | 阳宅风水 | 厨房 | 陈奕迅 | 刘德华（演员） | 日语歌曲 | 湖北省 | 音乐剧 | 张子枫 | 徐佳莹 | 电脑硬件 | 袁绍 | U盘 | 新浪微博 | 摇滚乐 | 摩羯座 | 智能手机 | 美国漫画 | 二胡 | 设计 | 智能家居 | 曹操 | 江西 | 海参 | 播放器 | 室内设计 | Windows 10 | 民国 | 地震 | 喜羊羊 | 华语流行音乐 | 旅游线路 | 农历 | 月饼 | 键盘（计算机） | 猪八戒 | 高一 | 显示器 | 零食 | 国产动画 | TANK | 搜狐 | 俄罗斯 | 鞠婧祎 | 虚拟货币 | 澳大利亚 | 人生 | 射手座 | 琅琊榜 | 电子音乐 | 魔方 | 外星人 | 中奖 | 爸爸去哪儿 | 歌手 | 花卉 | 欧阳娜娜 | 吴倩 | 竞技游戏 | 极限挑战（综艺节目） | 燕窝 | 大片 | 王祖贤 | Microsoft powerpoint | 肖战 | 自由行 | 百度 | hadoop | 减肥方法 | 美的 | 王俊凯 | 龚俊 | 高达 | 韩国 | 联赛 | 钱币 | 经济 | 男同性恋 | 音乐制作 | 东京 | 气功 | 乾隆通宝 | 诗歌 | 舰队 Collection | 股票市场 | Angelababy | 杨幂 | 水瓶座 | 胡歌（演员） | 闺蜜 | 蜘蛛侠3（电影） | 翻译 | 唱功 | 韩国流行音乐（k-pop） | 杨洋（演员） | 吴京（演员） | 快乐星球 | 狼人杀 | 移民 | iPod | 肿瘤科 | 液晶电视 | galgame | 徐峥 | 韩国文化 | 微商 | 薛之谦（歌手） | 天气 | 大一 | 张继科 | 梅艳芳 | 星座分析 | 耽美 |

你的位置：网站首页 >> 频道首页 >>游戏 >>模拟器上的ACL和traffic-filter 怎样判断是不是模拟器不能用

模拟器上的ACL和traffic-filter 怎样判断是不是模拟器不能用

来源：蜘蛛抓取(WebSpider) 时间：2016-07-03 02:41 标签：华为 traffic filter

Current position :
Prestige:<span class="cl09" id="prestige_
Bonus&points:<span class="cl09" id="exp_08
Gold&coins:<span class="cl09" id="score_00
Title:Contributor
1#Font Size | Post On
s5700 用ACL控制后Vlan 间仍能互访
&vlan 10 20 是办公上网组，vlan 192 是客户上网组，vlan 70 是服务器组
希望达到： vlan 10 20 70 可以互访，& valn 192 与 vlan 70 不能互访
以下配置问题1 ：我在s5700 gig0/0/3上做了只允许 vlan 20 70 10 通过，但 192.168.1.0 仍能通过
&&&&&&&&&&& 问题2：我又用了ACL 控制 vlan 192 与 70 这间不能互访，但结果是仍能互访
求大神解决，最好用ACL 谢谢！
s5700 配置：
vlan batch 10 20 70 192
acl number 3070
&rule 5 deny ip source 179.10.1.0 0.0.0.255 destination 192.168.4.0 0.0.0.255
acl number 3192
&rule 10 deny ip source 192.168.4.0 0.0.0.255 destination 179.10.1.0 0.0.0.255
interface Vlanif10
&ip address 179.10.10.254 255.255.255.0
interface Vlanif20
&ip address 179.10.20.254 255.255.255.0
interface Vlanif70
&ip address 179.10.1.254 255.255.255.0
interface Vlanif192
&ip address 192.168.4.254 255.255.255.0
interface GigabitEthernet0/0/1
&port link-type trunk
&port trunk allow-pass vlan 2 to 4094
interface GigabitEthernet0/0/2
&port link-type trunk
&port trunk allow-pass vlan 2 to 4094
interface GigabitEthernet0/0/3
&port link-type trunk
&port trunk allow-pass vlan 10 20 70
traffic-filter vlan 192 inbound acl 3192
traffic-filter vlan 70 inbound acl 3070
S3700-1 配置
interface Ethernet0/0/1
&port link-type trunk
&port trunk allow-pass vlan 2 to 4094
interface Ethernet0/0/2
&port link-type access
&port default vlan 10
interface Ethernet0/0/3
&port link-type access
&port default vlan 192
s3700-2 配置
interface Ethernet0/0/1
&port link-type trunk
&port trunk allow-pass vlan 2 to 4094
interface Ethernet0/0/2
&port link-type access
&port default vlan 20
interface Ethernet0/0/3
&port link-type access
&port default vlan 192
s3700-3配置
interface Ethernet0/0/1
&port link-type trunk
& port trunk allow-pass vlan 10 20 70
interface Ethernet0/0/2
&port link-type access
&port default vlan 70
interface Ethernet0/0/3
&port link-type access
&port default vlan 20
Prestige:<span class="cl09" id="prestige_5
Bonus&points:<span class="cl09" id="exp_87
Gold&coins:<span class="cl09" id="score_52
Title:Assistant
用Max vlan吧。
Prestige:<span class="cl09" id="prestige_5
Bonus&points:<span class="cl09" id="exp_87
Gold&coins:<span class="cl09" id="score_52
Title:Assistant
错了，不好意思，是mux vlan
Prestige:<span class="cl09" id="prestige_47
Bonus&points:<span class="cl09" id="exp_036
Gold&coins:<span class="cl09" id="score_6
Title:Staff Engineer
+3&Prestige&
网关都配置在核心S5700上、
vlan batch 10 20 70 192
interface vlanif 10
&ip add 192.168.10.1 24
interface vlanif 20
&ip add 192.168.20.1 24
interface vlanif 70
&ip add 192.168.70.1 24
interface vlanif 192
&ip add 192.168.192.1 24
&rule permit source 192.168.192.0 0.0.0.255 destination 192.168.70.0 0.0.0.255
traffic classifier c1
&if-match acl 3000
traffic behavior b1
traffic policy p1
&classifier c1 behavior b1
& traffic-policy p1 inbound
Prestige:<span class="cl09" id="prestige_91
Bonus&points:<span class="cl09" id="exp_974
Gold&coins:<span class="cl09" id="score_88
Title:Senior Staff Engineer
+3&Prestige&
你的ACL没应用，所以不生效！！用traffic-filter应用在vlan就可以了！
acl number 3070
&rule 5 deny ip source 179.10.1.0 0.0.0.255 destination 192.168.4.0 0.0.0.255
traffic-filter vlan 70 inbound acl 3070
Prestige:<span class="cl09" id="prestige_
Bonus&points:<span class="cl09" id="exp_08
Gold&coins:<span class="cl09" id="score_00
Title:Contributor
这条命令我是用了的
Prestige:<span class="cl09" id="prestige_
Bonus&points:<span class="cl09" id="exp_08
Gold&coins:<span class="cl09" id="score_00
Title:Contributor
流分类--学习、研究中。谢谢
Prestige:<span class="cl09" id="prestige_
Bonus&points:<span class="cl09" id="exp_08
Gold&coins:<span class="cl09" id="score_00
Title:Contributor
哈哈，其实我的命令没有错。因为我是在ENSP中测试的，所以不生效。
后来我在真实S5700EI 这样做就就可以限制VLAN 间互访了。坑爹的ENSP.
现在我在做 DHCHP 测试中
How to Buy
Quick LinksCurrent position :
Prestige:0
Bonus&points:1009
Gold&coins:2009
Title:Contributor
1#Font Size | Post On
ACL应用失败求帮助
我最近遇到了这样一个问题，希望大家能来帮帮忙，情况描述如下：
之前已经架设好了一个访客WIFI，是192.168.201.0/24网段的
现在想让他们只能访问外网，不能访问我们内部的电脑和服务器，以防止泄密，但是没能成功，我在核心交换机上（所有的网关都在核心上，并且公司内网启用了DHCP）做的操作如下（以禁icmp协议作为演示）：
acl number 3000
rule 5 deny icmp destination 192.168.0.0 0.0.0.255
traffic classifier limit operator or precedence 5
if-match acl 3000
traffic behavior limit
traffic policy 201
classifier limit behavior limit
traffic-policy 201 outbound
但是还是能ping通192.168.0.0/24网段的主机，如果我把acl改写成
acl number 3000
rule 5 deny icmp destination 192.168.0.0 0.0.255.255
此时，访客网络（201网段）不只ping不通目标网络地址了，连百度等公网地址都ping不通了。
如果把acl改写成
acl number 3000
rule 5 deny icmp destination 192.168.0.1 0
此时，也还是能ping能192.168.0.1这台主机。
我实在是百思不得其解，来寻求一下大家的帮助，谢谢。
Prestige:0
Bonus&points:1009
Gold&coins:2009
Title:Contributor
没有人回复吗，版主看到后能帮忙答疑吗？谢谢
Prestige:<span class="cl09" id="prestige_7
Bonus&points:<span class="cl09" id="exp_52
Gold&coins:<span class="cl09" id="score_73
Title:Assistant
你把访客单独放在一个VLAN里面 &再配置
Prestige:0
Bonus&points:1009
Gold&coins:2009
Title:Contributor
访客是单独在一个vlan里面的，在vlan201。
Prestige:<span class="cl09" id="prestige_91
Bonus&points:<span class="cl09" id="exp_974
Gold&coins:<span class="cl09" id="score_88
Title:Senior Staff Engineer
这个只要访问wifi禁止访问其它网段就可以的，大概配置如下：
假如wifi的网段为：192.168.2.0，其它网段分别为：192.168.3.0,192.168.4.0
acl number 3002
rule deny ip source 192.168.2.0 0.0.0.255 destination 192.168.3.0 0.0.0.255
rule deny ip source 192.168.2.0 0.0.0.255 destination 192.168.4.0 0.0.0.255
traffic-filter vlan 201 inbound acl 3002
Prestige:0
Bonus&points:1009
Gold&coins:2009
Title:Contributor
嗯，我们有多个C类子网，从101到106还有其它的，所以我想直接就用一个0.0.255.255来禁止掉。
还有一个问题，我看你写的方向是inbound，这个不应该是出口方向的策略吗？
Prestige:<span class="cl09" id="prestige_91
Bonus&points:<span class="cl09" id="exp_974
Gold&coins:<span class="cl09" id="score_88
Title:Senior Staff Engineer
也可以，那你写一条，应用在inbound方向。
rule deny ip source 192.168.2.0 0.0.0.255 destination 192.168.0.0 0.0.255.255&
Prestige:0
Bonus&points:1009
Gold&coins:2009
Title:Contributor
嗯，我后来把方向改成inbound就可以了，可是为啥呢，这不是限制出去的策略吗，虽然说限制掉它回来的数据包也能实现，但是我不能理解为啥设置成outbound就不行，求赐教……
How to Buy
Quick Links华为acl应用到vlan配置_百度知道
华为acl应用到vlan配置
ACL（AccessControlList，访问控制列表）即是通过配置对报文的匹配规则和处理操作来实现包过滤的功能。ACL通过一系列的匹配条件对报文进行分类，这些条件可以是报文的源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口号等。服务器区所有服务器网关均在核心交换机上，共有9个Vlan，9个网段分别如下；Vlan10-Vlan11网段分别为10.0.10.0/24-10.0.11.0/24Vlan14-Vlan19网段分别为10.0.14.0/24-10.0.19.0/24交换机管理Vlan为Vlan1:10.0.13.0/24，核心交换机的管理ip为10.0.13.254，其余接入交换机网关均在核心交换机上；客户端共有8个Vlan，分别为Vlan20-Vlan100，网段分别为10.0.20.0/24-10.0.100.0/24，网关均在核心交换机上；3需求一：对服务器区服务器做安全防护，只允许客户端访问服务器某些端口由于网络环境拓扑为客户端——客户端接入交换机——核心交换机——防火墙——服务器接入交换机——服务器，也即客户端访问服务器需要通过防火墙，所以对服务器的防护应该放到防火墙上来做，因为若用交换机来做过滤，配置麻烦且失去了防火墙应有的作用（此处不做防火墙配置介绍）；4需求二：交换机只允许固定管理员通过ssh登陆此处做防护有较为方便的俩种方法一：在所有交换机配置VTY时，调用ACL只允许源为网络管理员的IP访问，但此方法虽配置不复杂，但是配置工作量较大需要在所有交换机上配置，而且不灵活例如在网络管理员人员或者IP变迁时，需要重新修改所有交换机ACL，所以并不是首选方案；二：因为管理交换机管理Vlan与所有客户端Vlan不在同一Vlan，也即客户端访问接入交换机必须通过核心交换机，所以可以在核心交换机上做ACL来控制客户端访对接入交换机的访问，核心交换机的访问通过VTY来调用ACL；配置部分在下面；5需求三：客户端VLAN之间不能互相访问，客户端只允许访问服务器VLAN一：在核心交换机上的所有链接客户端接入交换机端口做ACL，只放行访问服务器的流量，拒绝其余流量，但由于客户端接入交换机约有几十台，所以配置工作量大几十个端口都需要配置，所以也不是首选方案；二：在核心交换机上的客户端Vlan做Acl，只放行访问服务器的流量，拒绝其余流量，由于客户端Vlan共有8个所以相对于在物理接口上做ACL而言，工作量较小，所以选择此方案；6配置部分6.1ACL配置部分aclnumber2000rule5permitsource10.0.20.110rule10permitsource10.0.21.150rule15deny//定义允许访问核心交换机的俩位网络管理员IP地址；aclnumber3000rule51permitipdestination10.0.10.00.0.0.255rule53permitipdestination10.0.12.00.0.0.255rule55permitipdestination10.0.14.00.0.0.255rule56permitipdestination10.0.15.00.0.0.255rule57permitipdestination10.0.16.00.0.0.255rule58permitipdestination10.0.17.00.0.0.255rule59permitipdestination10.0.18.00.0.0.255rule60permitipdestination10.0.19.00.0.0.255//定义所有客户端只允许访问服务器Vlanrule71permittcpsource10.0.20.110destination10.0.13.00.0.0.255destination-porteq22rule72permittcpsource10.0.21.150destination10.0.13.00.0.0.255destination-porteq22
其他类似问题
为您推荐：
提问者采纳
0.168.255 destination 192.255 rule 40 deny ip source 192.255 destination 192.0.0.1.0段访问192.0.1华为交换机的vlan隔离策略要在vlan里应用traffic policy来做#acl number 3011 rule 5 deny ip source 192.0 0.0 0.255 destination 192.0.168.0.255 rule 20 deny ip source 192.168.168.0.0.168.8.0.5.168.255 destination 192.0 0.0 0.0.0.0 0.168.0.1.0段策略是禁止192.0.0 0.168.168.0.1.255 destination 192.255 rule 10 deny ip source 192.1.0.0.168.0.0.168.2-9.1.0.0.255 destination 192.168.0 0.0.0 0.255 destination 192.6.7.0.0 0.168.0.0.4.9.1.0.168.1.255 destination 192.255 rule 35 deny ip source 192.0 0.1.2.255 rule 25 deny ip source 192.0 0.255 rule 15 deny ip source 192.255 rule 30 deny ip source 192.0.168.0.0 0.168.0.0.168.0 0.168.168.0.0 0.0 0.1.3.0.255#traffic classifier vlan11
if-match acl 3011#traffic behavior vlan11 deny
#traffic policy vlan11 classifier vlan11 behavior vlan11#vlan 11 traffic-policy vlan11 outboundvlan 11 是192.0 0.0
提问者评价
来自：求助得到的回答
来自团队：
acl的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁Current position :
Prestige:<span class="cl09" id="prestige_91
Bonus&points:<span class="cl09" id="exp_974
Gold&coins:<span class="cl09" id="score_88
Title:Senior Staff Engineer
1#Font Size | Post On
模拟器上的ACL和traffic-filter 是不是不能用？
acl number 3000
&rule 5 deny ip
traffic-filter vlan 10 inbound acl 3000&
下面的PC还是要以ping通。是不是模拟器还不支持？
Prestige:<span class="cl09" id="prestige_
Bonus&points:<span class="cl09" id="exp_54
Gold&coins:<span class="cl09" id="score_10
Title:Contributor
是的，我也发现了
Prestige:<span class="cl09" id="prestige_
Bonus&points:<span class="cl09" id="exp_37
Gold&coins:<span class="cl09" id="score_64
Title:Rookie
是什么设备？
Prestige:<span class="cl09" id="prestige_91
Bonus&points:<span class="cl09" id="exp_974
Gold&coins:<span class="cl09" id="score_88
Title:Senior Staff Engineer
交换机！！
Prestige:<span class="cl09" id="prestige_
Bonus&points:<span class="cl09" id="exp_37
Gold&coins:<span class="cl09" id="score_64
Title:Rookie
交换机只能支持基本的ACL过滤。
Prestige:<span class="cl09" id="prestige_91
Bonus&points:<span class="cl09" id="exp_974
Gold&coins:<span class="cl09" id="score_88
Title:Senior Staff Engineer
不能用traffic-filter应用吗？要用QOS流策略？
Prestige:<span class="cl09" id="prestige_
Bonus&points:<span class="cl09" id="exp_37
Gold&coins:<span class="cl09" id="score_64
Title:Rookie
交换机不支持流策略
Prestige:<span class="cl09" id="prestige_
Bonus&points:<span class="cl09" id="exp_13
Gold&coins:<span class="cl09" id="score_29
Title:Contributor
是的，我也在模拟器上用的traffic-filter过滤，在全局和接口下都用过，但是过滤了没有效果，不知道怎么弄。
后来我用的traffic-classiflter+traffic-behavior+traffic-policy就可以很好的过滤了，这点和思科的map类似，。
个人感觉：思科的acl可以用来过滤流量；但是华为的acl似乎只能用来匹配流量，如果要过滤似乎还要借助其他工具。求证实。
How to Buy
Quick Links

模拟器上的ACL和traffic-filter 怎样判断是不是模拟器不能用

我要回帖

更多关于华为 traffic filter 的文章

随机推荐

模拟器上的ACL和traffic-filter 怎样判断是不是模拟器不能用

我要回帖

更多关于 华为 traffic filter 的文章

随机推荐

更多关于华为 traffic filter 的文章