华三S5510 acl 运用到vlan互访限制中

catechuman

    华三S5510同别的华三交换机acl 运用到vlan互访限制中配置不一样，它是采用qos进行配置，没有packet-filter命令。qos配置先定义类，类中定义匹配哪个acl策略，再定义流行为，然后新建一个qos策略，把类和流行为加入这个qos策略里，最后把定义好的qos策略运用在vlan中。
    例如：vlan2：192.168.2.x
              vlan3：192.168.3.x
       vlan2和vlan3之间不允许互访
   
   配置：
    acl number 2001      \\配置一个2001的acl策略               
    rule 0 deny source 192.168.2.0 0.0.0.255  \\拒绝原地址为192.168.2.0数据包通过

    acl number 3001      \\配置一个2001的acl策略
    rule 0 permit ip     \\允许所有数据包通过
   
    traffic classifier cl22 \\定义一个cl22（名字可以自定义）的类

    if-match acl 2001       \\类中定义匹配acl 2001规则

    traffic behavior  bl22  \\定义一个bl22（名字可以自定义）的流行为

    filter deny              \\数据包拒绝通过

    traffic classifier cl23  \\定义一个cl23（名字可以自定义）的类

    if-match acl 3001        \\类中定义匹配acl 3001规则

    traffic behavior   bl23  \\定义一个bl22（名字可以自定义）的流行为

    filter permit            \\数据包允许通过

    qos policy q20           \\定义一个名为q20的qos策略
    classifier cl22 behavior bl22  \\把cl22和bl22加入q20里
    classifier cl23 behavior bl23  \\把cl23和bl23加入q20里

    \\这里先拒绝vlan2的数据包通过，再允许除vlan2的数据包通过

    qos vlan-policy q20 vlan 3 inbound   \\把q20策略应用于vlan2 in的方向

   这样vlan3就把从vlan2那里发送过来的数据包过滤掉，使得vlan2里的所有主机不能访问vlan3。
   
   


本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/14301/showart_509179.html