Traffic policy 策略,三层路由过滤
需要做1 classifier, 2 behavior 3 classifier和behavior绑定
1 #先做ACL
Acl 3005
Rule 5 deny ip source 192.168.120.0 0.0.0.255 destination 192.168.125.0 0.0.0.255
2#做classifier
Traffic classifier 10
If-match 10
3#做behavior
Traffic behavior 10
Permit
4# 绑定classifier和behavior到traffic poicy
Traffic policy 10
Classifier 10 behavior 10
5# 在接口下应用
Vlan 120
Traffic policy 10 inbound
注意:如果需要限制多个网段访问核心,想在核心限制,做ACL时source 要写核心地址。
举例:
Vlan 125,网关192.168.125.1 内网主机192.168.125.20
VLAN 120 网关192.168.120.1 内网主机192.168.120.2
vlan 126 网关192.168.126.1 内网主机192.168.126.20
需求:只允许125网段访问120网段,126网段不允许访问120网段。
acl 3005
rule 5 deny ip source 192.168.120.0 0.0.0.255 destination 192.168.126.0 0.0.0.255
traffic classifier 10
if-match acl 3005
traffic behavior 10
permit
traffic policy 10
classifier 10 behavior 10
vlan 120
traffic policy 10 inbound
重点: 1 classifier和behavior要绑定到traffice policy
2 做ACL的时候要做source120网段,而不是source 126网段
3 方向要是inbound ,而不是我理解的outbound
2020.4.17
针对于交换机下面的电脑的接口,inbound,outbound是对于电脑来说,
inbound是指对方给电脑发数据包,此时source是指对方的地址,destination是电脑地址,而outbound是只电脑给远方发包,此时source是指电脑的地址,destination是只对方的地址。
2020.6.9现在看,我4.17写的好像还是不对,先给我之前的记录都发上来吧。有问题再回来改