traffic policy 的做法---我的实验

最新推荐文章于 2025-03-13 17:50:21 发布
原创 最新推荐文章于 2025-03-13 17:50:21 发布 · 2.8k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

Traffic policy  策略,三层路由过滤

需要做1 classifier, 2 behavior 3 classifier和behavior绑定

1 #先做ACL

Acl 3005

  Rule 5 deny ip source 192.168.120.0  0.0.0.255 destination 192.168.125.0  0.0.0.255

2#做classifier

Traffic classifier 10

  If-match 10

3#做behavior

Traffic behavior 10

   Permit

4# 绑定classifier和behavior到traffic poicy

Traffic policy 10

  Classifier 10 behavior 10

5# 在接口下应用

Vlan 120

  Traffic policy 10&n

最低0.47元/天 解锁文章
netlive
关注
traffic-policy 概念及题目
weixin_42185241的博客
10-11 936
本文详细讲解了华为/H3C设备中的traffic-policy技术,将其比作"法律体系":流分类定义匹配条件(违法行为),流行为定义执行动作(处罚),流量策略将二者绑定。文章介绍了traffic-policy的体系结构、匹配逻辑、常见流行为动作及应用方向。通过一个综合实验演示了如何配置流量策略实现关键业务保障、P2P流量限制和非法访问禁止,包括创建ACL、流分类、流行为,绑定策略并应用到接口的完整流程。实验验证了配置效果,展示了traffic-policy在QoS和流量管理中的强大功能。
华为访问列表traffic-policy案例
weixin_34257076的博客
09-01 5267
1,最近某公司有个需求      2,配置为重点--在于思路 需求:192.168.1 3 5 8网段不能访问2.x网段 仅允许财务2.x访问1.253打印机。 acl name permit_printer 3989 rule 10 permit ip source 192.168.1.253 0.0.0.0 destination 192.168.2.0 0.0.0.2...
OSPF通过路由策略过滤路由/策略路由选路实验
1mih的博客
08-01 7264
实验拓扑如图,需求如下: 需求: 1.分部可以访问市场部,不允许访问其他部门 总部不可以访问研发部,允许访问其他部门 分别尝试用Filter policy和router policy 去实现。 2.通过策略路由,使得总部PC6通过AR2-AR3-AR4访问财务部,总部PC5通过AR2-AR1-AR4访问财务部。 涉及到的内容:路由策略、策略路由、OSPF、地址前缀列表、访问控制列表等 首先我们先配置好各个端口及主机的IP地址、OSPF邻居的建立以及直连路由的引入。 配置完成后查看R1&R2的路由表.
华为交换机配置Qos
qq_27546717的博客
02-05 6536
在DiffServ域模型下,优先级映射利用DS域来管理和记录QoS优先级与服务等级、颜色之间的映射关系,其过程如下:\1. 在报文进入设备时,报文携带的QoS优先级被映射到设备内部服务等级和颜色。\2. 设备根据报文的服务等级及颜色实现拥塞避免。\3. 在报文离开设备时,内部服务等级和颜色被映射为QoS优先级。设备根据内部服务等级与QoS优先级之间的映射关系确定报文进入的队列,从而针对队列进行流量整形、拥塞避免、队列调度等处理。
华三交换机配置流桶(通常称为“流策略”或“流行为”)
qq_43636320的博客
03-13 2027
配置流行为(Traffic Behavior):定义对匹配流量的处理动作(如限速、重定向、标记优先级等)。绑定流策略(Traffic Policy):将流分类和流行为关联成一个完整的策略。方向选择:inbound(入方向)或outbound(出方向)需根据实际需求选择。定义ACL(访问控制列表):匹配需要控制的流量特征(如IP、端口、协议等)。创建流分类(Traffic Classifier):将ACL与流量分类绑定。应用流策略到接口:在指定接口的入方向或出方向应用策略。重定向流量到指定端口(如监控端口)
策略路由中traffic-policy
weixin_41003371的博客
03-23 9780
路由表中去往目的地址存在两条路的情况下,数据流量是负载的。 实验中:pc1 ping pc3时,流量往R1-R2-R4(回包也是) pc4 ping pc3时,流量走R1-R3-R4 pc5 ping pc3时,流量走R1-R2-R4 如果现在要求192.168.1.0/24只走R1-R2-R4,现在使用MQC来实现 使用策略路由MQC模块化QOS命令行 [R1-acl-basic-2000]rule permit source 192.16...
路由控制(traffic policy、route policy
KI0323的博客
08-10 1万+
路由策略 控制流量可达性问题 方式一:路由策略(对接受和发布的路由进行过滤或改变路由信息属性) 控制路由发布:只发布满足条件的路由 控制路由接受:只接收必要的路由,提高网络安全性 过滤和控制引入的路由:在引入其他协议路由时只引入一部分满足 条件的路由 设置路由属性:...
XCIE-HUAWEI-路由控制-filter-policy-ACL
weixin_48137911的博客
10-15 1415
毕竟,很少有机会可以从无到有去建设一个网络,当然了,这个技术点,考证也好,工作也好,都很常用.2.首先呢,要给路由做策略,那这个前提下,你得让设备知道你对那个路由做控制,做策略。1.路由策略:路由策略是通过一系列的工具的进行控制,影响路由的加表,属性,选路。其中,这个import,跟ACL是一个道理的,因为对于0口来说接受的就是进入的。现在呢,我想让R1能通L0,不通L1,但是只能在AR1-2上做,其他的不动。这个图,看配置过程,我配置了2,那么呢,这个对应上的路由,也就出来了。
精选资源
Traffic-Signal-Control-master_深度强化学习交通信号灯识别python_深度强化学习_DDPG_tr
09-11
标题中的"Traffic-Signal-Control-master"表明这是一个关于交通信号灯控制的项目,主要采用深度强化学习的方法,特别是DDPG(Deep Deterministic Policy Gradient)算法。这个项目提供了源代码,可以帮助我们理解并...
PBR(Policy-Based Routing策略路由)实验举例
weixin_56548356的博客
05-31 2926
华为官方文档说过PBR适用于本地(本地始发流量)PBR 不适用于接口(转发流量)PBR,尽管你可以在部分设备上使用接口PBR 而且只是部分设备支持PBR 如果你们遇到实验效果不符 那请换成MQC(模块化Qos命令行)路由策略与策略路由的区别 前者是对路由表操作 策略路由则是对数据包进行操作(包括转发接收丢弃等)(2)192.168.5.0/24-192.168.5.0/24访问Internet经ISP2。,**traffic policy(流策略)**进行操作。为了更好的测试 我加了台路由器模拟真实环境。
流策略概述Traffic Policy
海绵汽水的博客
09-04 2万+
关于Traffic Policy 流策略(Traffic Policy)用于QoS复杂流分类,实现丰富的QoS策略。 Traffic Policy分为三部分: 流分类(Classifier)模板:定义流量类型。一个Classifier可以配置一条或多条if-match语句,if-match语句中可以引用ACL规则。不同的Classifier模板可以应用相同的ACL规则。一个ACL
内外网隔离-Traffic Policy
热门推荐
紫墨丹青
09-28 48万+
网络拓扑; Traffic Policy; 全网互联; 创建ACL; 配置流策略。
核心实验2合集:调整网络流量路径-策略路由方式-Traffic-Policy工具
garliccc的博客
09-18 527
R1-GigabitEthernet0/0/1]ospf cost 2 ospf默认开销为1.使得去往4.4.4.0走gi0/0/0口。classifier gongcheng behavior gongcheng #前者是分类,后者是动作,相关联。apply ip-address next-hop 13.1.1.3 (强制下一跳)[R1]ip local policy-based-route aa 本地调用。注意:目前基于接口的策略路由只针对。让pc1走r2,让pc2走r3。
利用策略路由traffic-policy 实现路由的控制
GRQ的博客
02-16 3322
R1 环回口上有192.168.1.1 跟192.168.2.1 两个IP R3上有8.8.8.8 这个IP R4上也有8.8.8.8 这个IP 通过策略路由实现让R1上的192.168.1.1访问R3上的8.8.8.8 R1上的192.168.2.1 能访问R4上的8.8.8.8 拓扑图如下图所示 R1 interface GigabitEthernet0/0/0 ip address 10.1.12.1 255.255.255.0 # interface LoopBack0 ip addr...
华为交换机traffic策略设置
u014659969的博客
10-17 2744
华为交换机traffic策略设置
ensp模拟traffic-policy在vlan视图下的inbound outbound
netlive的专栏
05-31 6162
先说结论: 限制vlan b访问 vlan a的某个地址,只能在vlan b的inbound 方向上做策略,或者在vlan a的视图下做inbound,outbound无论是在vlan a或者vlan b视图下,都不起作用。 以下是测试的过程: 最近工作中用到了traffic-policy ,之前用traffic-filter的时候在Inbound和outbound 的时候,在哪个方向上应用,没有迷惑,可是在用traffic-policy 的时候,发现只有在in...
核心9303经常有外国的暴力尝试登录-可以用traffic-policy gongji global outbound
国丰帮您解决各种网络问题-做网络我们是认真的!!!
03-07 462
外网地址 -----暴力破解三层核心-由于我们是二级运营商所有的网关都是公网的地址落在设备上,经常遭遇国外和黑客的攻击,尝试了一下可以用如下的策略阻止 acl number 3030 # 定义一个acl rule 5 deny ip destination 64.62.197.122 0 traffic classifier gongji operator or precedence 5 # 流分类 if
lanif下面没有traffic-filter inbound 命令
最新发布
06-06
<think>嗯,用户正在华为S5720交换机上配置VLAN访问控制,遇到了traffic-filter命令在VLAN接口下不可用的问题。用户可能已经尝试过直接在Vlanif接口下应用ACL但失败了,这让他感到困惑。考虑到用户之前已经成功配置了VLAN划分和DHCP,说明他对基础操作是熟悉的,现在需要解决更具体的ACL应用问题。从技术角度看,华为S5720属于三层交换机,ACL应用方式与二层交换机不同。用户引用的文档[^1]提到"traffic-filtervlan10inbound"这种语法,这其实是针对二层VLAN的ACL应用方式(VLAN视图),而不是在三层接口(Vlanif视图)下。这解释了为什么用户在Vlanif接口找不到traffic-filter命令。用户真正的需求其实是实现四个VLAN之间的复杂访问控制,特别是VLAN40的隔离要求。这里的关键点在于:三层接口只能配置路由相关的ACL(如packet-filter),而用户需要的恰恰是介于二层和三层之间的过滤——在网关处拦截特定VLAN间的流量。想到两个解决方案:要么改用VLAN视图应用ACL(纯二层过滤),要么使用流策略(trafficpolicy)结合流行为(trafficbehavior)。考虑到VLAN40需要隔离其他三个业务VLAN但又要保留上网能力,建议采用更灵活的流策略方案。这样既能满足隔离需求,又可以通过permitip保持对外访问。用户对华为ACL机制的认知存在一个误区:以为所有过滤都只能在接口下配置。其实华为交换机有多个ACL应用层级(物理接口/VLAN/全局等)。准备在回复时特别强调这点,并给出两种方案的具体配置步骤。注意到用户的实验环境提示,特别添加了"debugging"级别的排错建议。因为实际部署时ACL不生效的常见原因是硬件资源不足,S5720的ACL资源需要特别关注。还考虑到用户可能需要扩展规则,补充了允许访问特定服务器的配置示例。</think> ### 华为S5720交换机VLAN间ACL配置与`traffic-filter`命令解决方案 #### 问题核心诊断 在华为S5720三层交换机中,**`traffic-filter`命令无法直接在Vlanif接口(三层接口)下使用**,这是设备架构设计的限制[^1]。该命令仅适用于: 1. 物理接口(如GigabitEthernet0/0/1) 2. 二层VLAN视图(通过`vlan 10`进入) 3. 全局应用 #### 正确配置方案 ##### 方案1:VLAN视图应用ACL(推荐) ```shell # 创建ACL3000(禁止VLAN40访问其他网段) [SW] acl 3000 [SW-acl-adv-3000] rule 5 deny ip source 192.168.40.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 [SW-acl-adv-3000] rule 10 deny ip source 192.168.40.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 [SW-acl-adv-3000] rule 15 deny ip source 192.168.40.0 0.0.0.255 destination 192.168.30.0 0.0.0.255 [SW-acl-adv-3000] rule 100 permit ip # 允许其他流量 [SW-acl-adv-3000] quit # 在VLAN40视图下应用ACL [SW] vlan 40 [SW-vlan40] traffic-filter inbound acl 3000 # ✅ 有效位置[^1] ``` ##### 方案2:流策略(复杂场景) ```shell # 创建ACL(同上) [SW] acl 3000 ... # 规则配置同上 # 创建流行为 [SW] traffic behavior b1 [SW-behavior-b1] deny # 拒绝动作 [SW-behavior-b1] quit # 创建流分类 [SW] traffic classifier c1 [SW-classifier-c1] if-match acl 3000 [SW-classifier-c1] quit # 创建流策略 [SW] traffic policy p1 [SW-trafficpolicy-p1] classifier c1 behavior b1 [SW-trafficpolicy-p1] quit # 应用策略到VLAN [SW] vlan 40 [SW-vlan40] traffic-policy p1 inbound # ✅ 替代方案[^3] ``` #### 验证命令 ```shell # 查看ACL应用状态 [SW] display acl 3000 # 检查流量统计(需先开启统计) [SW-behavior-b1] statistic enable [SW] display traffic-policy statistics vlan 40 inbound ``` #### 通信控制结果 | 源VLAN | 目标VLAN | 通信状态 | 控制机制 | |--------|----------|----------|----------| | 40 | 10 | ❌ 阻断 | ACL规则 | | 40 | 20 | ❌ 阻断 | ACL规则 | | 40 | 30 | ❌ 阻断 | ACL规则 | | 20 | 30 | ✅ 允许 | 默认路由 | | 10/20/30| 外部网络| ✅ 允许 | rule 100 | #### 关键原理说明 1. **三层接口限制** Vlanif接口(如Vlanif10)是**逻辑三层接口**,只能使用路由型ACL命令(如`packet-filter`),而`traffic-filter`是二层命令[^2]。 2. **硬件加速机制** S5720通过专用芯片处理ACL,在VLAN视图应用可最大化利用硬件资源[^3]: ```mermaid graph LR A[入站流量] --> B{二层VLAN标签} B -->|VLAN40流量| C[硬件ACL处理] C -->|匹配规则| D[执行丢弃/转发] ``` 3. **例外场景处理** 若需允许VLAN40访问特定服务器(如192.168.10.100): ```shell [SW-acl-adv-3000] rule 3 permit ip source 192.168.40.0 0.0.0.255 destination 192.168.10.100 0 ``` --- ### 相关问题 1. **为何在S5720的Vlanif接口下无法使用`traffic-filter`命令?** 答:因Vlanif是三层接口,需改用`packet-filter`或在VLAN视图应用`traffic-filter`[^1]。 2. **如何验证ACL规则是否在硬件层面生效?** 答:用`display traffic-policy statistics`查看硬件计数(需先开启`statistic enable`)[^3]。 3. **VLAN20与30互通为何不需要额外配置?** 答:三层交换机默认开启VLAN间路由,只需配置各Vlanif的IP地址即自动互通[^2]。 4. **ACL规则中`rule 100 permit ip`有何作用?** 答:允许非阻断目标的所有IP流量(如互联网访问),避免误屏蔽必要通信。 5. **如何诊断ACL不生效的问题?** 答:分步检查: → `display acl all` 确认规则存在 → `display traffic-filter applied-record` 查看应用位置 → `debugging ip packet acl 3000` 捕捉调试信息
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值