应用高级ACL配置流分类示例.doc

组网需求如图1所示,公司企业网通过Switch实现各部门之间的互连。要求正确配置ACL,禁止研发部门和市场部门在上班时间(8:00至17:30)访问工资查询服务器(),而总裁办公室不受限制,可以随时访问。图1应用高级ACL配置流分类组网图配置思路采用如下的思路配置ACL:配置接口IP地址。配置时间段。配置ACL。配置流分类。配置流行为。配置流策略。在接口上应用流策略。操作步骤配置接口IP地址#配置接口加入VLAN,并配置VLANIF接口的IP地址。规划GE1/0/1~GE1/0/3分别加入VLAN10、20、30,GE2/0/1加入VLAN100。VLANIF接口的地址取所在网段的第一个IP地址。下面配置以GE1/0/1接口为例,其他接口的配置与此类似,不再赘述。<HUAWEI>system-view[HUAWEI]vlanbatch102030100[HUAWEI]1/0/1[HUAWEI-1/0/1]portlink-ess[HUAWEI-1/0/1]portdefaultvlan10[HUAWEI-1/0/1]quit[HUAWEI]interfacevlanif10[HUAWEI-Vlanif10][HUAWEI-Vlanif10]quit配置时间段#配置8:00至17:30的周期时间段。[HUAWEI]time-rangesatime8:00to17:30working-day配置ACL#配置市场部门到工资查询服务器的访问规则。[HUAWEI]acl3002[HUAWEI-acl-adv-3002]-rangesatime[HUAWEI-acl-adv-3002]quit#配置研发部门到工资查询服务器的访问规则。[HUAWEI]acl3003[HUAWEI-acl-adv-3003]-rangesatime[HUAWEI-acl-adv-3003]quit配置基于ACL的流分类#配置流分类c_market,对匹配ACL3002的报文进行分类。[HUAWEI]lassifierc_market[HUAWEI-classifier-c_market]if-matchacl3002[HUAWEI-classifier-c_market]quit#配置流分类c_rd,对匹配ACL3003的报文进行分类。[HUAWEI]lassifierc_rd[HUAWEI-classifier-c_rd]if-matchacl3003[HUAWEI-classifier-c_rd]quit配置流行为#配置流行为b_market,动作为拒绝报文通过。[HUAWEI]trafficbehaviorb_market[HUAWEI-behavior-b_market]deny[HUAWEI-behavior-b_market]quit#配置流行为b_rd,动作为拒绝报文通过。[HUAWEI]trafficbehav