我只知道先进入这个端口,可是不知道华为交换机怎么写ACL和把这个ACL应用到这个端口。请教!
OK了啊,谢谢哈,那我想问下我还想限制其他IP,怎么把其他IP加入这个ACL和QOS策略。谢谢哈~
追答因为我们的流量分类和流量过滤规则已经通过qos绑定或者说是匹配,所以如果规则已经下发:
第一步就是要取消下发的规则
[h3c-GigabitEthernet0/0/30]undo qos apply policy inbound
第二步进入到acl 3000编辑图示
[h3c-GigabitEthernet0/0/30]quit
[h3c]acl number 3000
[h3c-acl-adv-3000]rule deny ip destination 'ip' 0
[h3c-acl-adv-3000]...... \有多少ip就写多少条命令。如果是一个网络段,那就直接后面跟个反掩码就行了。例如是192.168.0.0/24这个网段都不给他上网。那么我们就可以编辑命令如下:
[h3c-acl-adv-3000]rule deny ip destination 192.168.0.0 0.0.0.255 /后面跟反掩码
第三步再次进入接口编辑图示下发规则
[h3c-acl-adv-3000]quit
[h3c]interface GigabitEthernet 0/0/30
[h3c-GigabitEthernet0/0/30]qos apply policy test inbound
[h3c-GigabitEthernet0/0/30]quit
[h3c]save
另外一种情况是你还没建立规则或者规则还没有下发,那就是按照我之前所说的方法先建立相应的规则或者直接从第二步开始做好了!!
这次应该没有什么问题了吧!!嘎嘎……
不是,没有路由器,S7503连的是思科的ASA防火墙
追答那你就的在ASA里做acl来快哦估值。cisco不熟,没法帮你
追问那大侠能不能告诉我在s7503上面如果要写是怎么写的,我想要练习下,比如限制192.168.1.200 这个IP不能上网。全过程,谢谢哈!
追答acl number 3000 定义允许访问的3个私网段,如果你内网有其他地址段请添加进来
rule 0 permit ip source 192.168.1.200 0 destination 10.0.0.0 0.255.255.255
rule 5 permit ip source 192.168.1.200 0 destination 172.0.0.0 0.255.255.255
rule 10 permit ip source 192.168.1.200 0 destination 192.168.0.0 0.0.255.255
acl number 3001 定义禁止访问所有的acl
rule 0 deny ip source 192.168.1.200 0
#
traffic classifier permit 定义类并绑定acl
if-match acl 3000
traffic classifier deny 定义类并绑定acl
if-match acl 3001
#
traffic behavior permit 定义行为并绑定动作
filter permit
traffic behavior deny 定义行为并绑定动作
filter deny
#
qos policy x 定义策略,将两个行为和类绑定,顺序必须是permit后deny
classifier permit behavior permit 顺序1
classifier deny behavior deny 顺序2
#
int g0/0/30
qos apply policy x in 下发策略实现允许访问所有内网网段但禁止访问外网所有ip