ensp模拟traffic-policy在vlan视图下的inbound outbound

已于 2022-05-31 21:54:51 修改
阅读量4.7k 收藏 6
点赞数 1
文章标签: 网络协议 网络 华为
于 2022-05-31 20:42:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/netlive/article/details/125072049
版权

先说结论:

        ENSP模拟环境下,限制vlan b访问 vlan a的某个地址,只能在vlan b的inbound 方向上做策略,或者在vlan a的视图下做inbound,outbound无论是在vlan a或者vlan b视图下,都不起作用。

        实际环境中,我今天下午测试的时候,交换机真机环境下没有问题。

以下是测试的过程:

            最近工作中用到了traffic-policy ,之前用traffic-filter的时候在Inbound和outbound 的时候,在哪个方向上应用,没有迷惑,可是在用traffic-policy 的时候,发现只有在inbound方向上才有用,在vlan视图下用outbound,不起作用,

我用ensp做了个模拟,做了个最严格,或者说极端情况下的acl deny,结果还是能ping通,说明traffic-policy在vlan视图下,outbound是不起作用的。

正常情况:要想做到不让192.168.2.0网段Ping通192.168.1.2,只需要在vlan20视图下,做

traffic-policy inbound就可可以,配置如图,

acl number 3000
 rule 5 deny icmp destination 192.168.1.2 0
#
traffic classifier 3000 operator and
 if-match acl 3000
#
traffic behavior deny
 deny
#
traffic policy 3000
 classifier 3000 behavior deny
#
drop-profile default
#
vlan 20
 traffic-policy 3000 inbound
#
interface Vlanif10
 ip address 192.168.1.1 255.255.255.0
#
interface Vlanif20
 ip address 192.168.2.1 255.255.255.0
#
interface MEth0/0/1
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 10
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 20
#
interface GigabitEthernet0/0/4
 port link-type access
 port default vlan 20

这样的配置下,在vlan 20 下的电脑是不能ping通192.168.1.2的

------------------------------------------------------------------------------------

异常情况:vlan 视图下outbound方向

   基于上面正确的配置,是应用在vlan 20的inbound方向的,我考虑,我将数据包从vlan20送过去,用的inbound,那么到达vlan10以后,在发送给电脑,应该是outbound,于是我在vlan10下面配置了traffic-policy 3000 outbound,下面就只贴不一样的关键配置了

测试1:

测试1:

acl number 3000
 rule 5 deny icmp destination 192.168.1.2 0
#
traffic classifier 3000 operator and
 if-match acl 3000
#
traffic behavior deny
 deny
#
traffic policy 3000
 classifier 3000 behavior deny
#
vlan 10
 traffic-policy 3000 outbound
#
结果这样的配置,vlan 20的电脑还是能Ping通192.168.1.2

基于上面的情况,我在想是不是destination和source不对,于是我就改成了这样

测试2:vlan10视图下的outbound

测试2:

acl number 3000
 rule 5 deny icmp destination 192.168.1.2 0
 rule 10 deny icmp source 192.168.1.2 0
#
traffic classifier 3000 operator and
 if-match acl 3000
#
traffic behavior deny
 deny
#
traffic policy 3000
 classifier 3000 behavior deny
#
drop-profile default
#
vlan 10
 traffic-policy 3000 outbound

结果这样,vlan 20 还是能ping通192.168.1.2

我已经在acl里禁止了source 和destination地址都是192.168.1.2的地址,然后应用在了vlan 10的outbound方向,结果在pc3上Ping 192.168.1.2还是可以通的。

 后来我想干脆我给vlan10的icmp全禁止不就行了,

于是我做了极端情况下的acl配置,结果,vlan20还是能ping通192.168.1.2

测试3:禁止icmp的情况下,vlan10 outbound依然不起作用

【测试3:极端情况】

acl number 3000
 rule 5 deny icmp
 rule 10 deny ip
#
traffic classifier 3000 operator and
 if-match acl 3000
#
traffic behavior deny
 deny
#
traffic policy 3000
 classifier 3000 behavior deny
#
drop-profile default
#
vlan 10
 traffic-policy 3000 outbound
#
结果,这样的acl,vlan 20下的pc3依然能ping通192.168.1.2
到这里我就开始怀疑是不是ensp有Bug,从理论上来说,vlan10
不会跟外界有icmp通信的

 同样的 ,将这个极端情况的acl应用在vlan 20视图下,依然不起作用。

测试4:禁止vlan 20视图下的icmp

测试4:

acl number 3000
 rule 5 deny icmp
 rule 10 deny ip
#
traffic classifier 3000 operator and
 if-match acl 3000
#
traffic behavior deny
 deny
#
traffic policy 3000
 classifier 3000 behavior deny
#
vlan 20
 traffic-policy 3000 outbound

结果,这样的情况下,vlan 20的PC3依然能ping通192.168.1.2  ^_^

        到这里,traffic-policy 在vlan视图下的outbound,彻底给我整不会了,于是开始大量的查找资料,目前查到的资料里都说是在目的vlan下做outbound就可以,可是测试上却不可以,目前还没更好的例子,有大神知道这是为什么吗?

2022.5.31

netlive
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
ACL-VLANIF的Inbound和Outbound区别
Welcome To OpenClouds World !!!
10-16 2751
ACL是由一系列permit(允许)或deny(拒绝)语句组成的有序规则的列表,它单独是无法使用的,需要应用在业务模块中才能生效,如在NAT中调用、在防火墙的策略部署中被调用、在路由策略中被调用和用来通过流量过滤。2、ACL分类(1)基本ACL:ACL编号2000-2999,只能用报文的源IP地址、分片时间和生效时间段来定义规则;(2)高级ACL:ACL编号3000-3999,可以使用报文的源IP地址、目的IP地址、协议类型、源端口号、目的端口号、生效时间来定义规则;
华为模拟eNSP练习题-VLAN
01-04
实验需要的网络拓扑,配置命令,topo
vlan中ACL inbound与outbound详解
七夕小子的博客
07-22 2万+
关键字:华为ACL配置、Cisco ACL配置、Vlan ACL配置 ACL一般有两种应用场景:应用到交换机物理端口和应用到Vlan。 场景一:应用到交换机物理端口上的ACL 网络拓扑:PC连接在交换机Gig0/0/1端口 实现目的:在PC上不能访问某IP的80和443端口 解析: 站在PC侧(站在哪里看很重要)看交换机,PC的数据包是要进入交换机端口,那么ACL就应用到交换机物理...
路由控制(traffic policy、route policy
KI0323的博客
08-10 1万+
路由策略 控制流量可达性问题 方式一:路由策略(对接受和发布的路由进行过滤或改变路由信息属性) 控制路由发布:只发布满足条件的路由 控制路由接受:只接收必要的路由,提高网络安全性 过滤和控制引入的路由:在引入其他协议路由时只引入一部分满足 条件的路由 设置路由属性:...
策略路由中traffic-policy
weixin_41003371的博客
03-23 7865
路由表中去往目的地址存在两条路的情况下,数据流量是负载的。 实验中:pc1 ping pc3时,流量往R1-R2-R4(回包也是) pc4 ping pc3时,流量走R1-R3-R4 pc5 ping pc3时,流量走R1-R2-R4 如果现在要求192.168.1.0/24只走R1-R2-R4,现在使用MQC来实现 使用策略路由MQC模块化QOS命令行 [R1-acl-basic-2000]rule permit source 192.16...
利用策略路由traffic-policy 实现路由的控制
GRQ的博客
02-16 2888
R1 环回口上有192.168.1.1 跟192.168.2.1 两个IP R3上有8.8.8.8 这个IP R4上也有8.8.8.8 这个IP 通过策略路由实现让R1上的192.168.1.1访问R3上的8.8.8.8 R1上的192.168.2.1 能访问R4上的8.8.8.8 拓扑图如下图所示 R1 interface GigabitEthernet0/0/0 ip address 10.1.12.1 255.255.255.0 # interface LoopBack0 ip addr...
内外网隔离-Traffic Policy
热门推荐
紫墨丹青
09-28 48万+
网络拓扑; Traffic Policy; 全网互联; 创建ACL; 配置流策略。
traffic policy 的做法---我的实验
netlive的专栏
06-10 2452
Traffic policy 策略,三层路由过滤 需要做1 classifier, 2 behavior 3 classifier和behavior绑定 1 #先做ACL Acl 3005 Rule 5 deny ip source 192.168.120.0 0.0.0.255 destination 192.168.125.0 0.0.0.255 2#做classifier Traffic classifier 10 If-match 10 3#做behavior Tra...
eNSP模拟---Telnet远程访问.rar
04-18
eNSP模拟---Telnet远程访问.rar
eNSP模拟---RIP配置.rar
04-18
eNSP模拟---RIP配置.rar
4 eNSP模拟--OSPF配置.rar
04-24
4 eNSP模拟--OSPF配置.rar
eNSP实验4-2-跨交换机VLAN配置
01-28
本实验"eNSP实验4-2-跨交换机VLAN配置"旨在教授如何在不同交换机之间配置VLAN,以满足特定的网络需求,例如限制不同部门间的通信,允许同一部门内的主机互相访问。 实验主要围绕以下知识点展开: 1. **VLAN基础**...
核心9303经常有外国的暴力尝试登录-可以用traffic-policy gongji global outbound
国丰帮您解决各种网络问题-做网络我们是认真的!!!
03-07 331
外网地址 -----暴力破解三层核心-由于我们是二级运营商所有的网关都是公网的地址落在设备上,经常遭遇国外和黑客的攻击,尝试了一下可以用如下的策略阻止 acl number 3030 # 定义一个acl rule 5 deny ip destination 64.62.197.122 0 traffic classifier gongji operator or precedence 5 # 流分类 if
流策略概述Traffic Policy
aa565142770的博客
11-30 2932
这是华为ACL配置中流策略的配置命令。华为设备配置ACL不像Cisco的那样可以直接在接口下配置ACL来应用。华为需要先配ACL,然后配流分类(traffic classifier tc1),将ACL和流分类绑定,再配流行为(traffic behavior tb1),接着配置流策略(traffic policy tp1),最后把策略应用到接口下,让ACL生效。https://zhida...
交换机调用ACL时候的inbound和outbound该怎么用?
NeverGUM的博客
04-09 2万+
我们知道,简单的ACL(访问控制列表)配置以后,通常在物理接口或者vlanif虚接口下调用,但是我们时常不明白,到底什么时候该用inbound,什么时候该用outbound,下面是我自己简单的理解。 一:物理接口下调用 [CORE1]acl 3001 [CORE1-acl-adv-3001]rule deny ip source 192.168.10.253 0 destinati...
华为之ACL应用于Traffic Policy/华为策略路由匹配原则
黑夜搬砖的网工
06-01 6603
华为traffic policy的匹配规则
路由控制3——策略工具路由策略与策略路由
m0_49864110的博客
03-24 9673
Node 节点有允许和拒绝两种动作(最多65535个节点)If-match 节点匹配规则一般引用条件工具(ACL等)实现,来筛选路由Apply 执行动作匹配规则成功后对路由执行的动作。
计算机网络:应用层 - 万维网 & HTTP协议
最新发布
盒马的博客
06-20 1301
讲解计算机网络应用层,万维网WW以及HTTP协议
怎么在ensp-ipv6-划分vlan
06-01
ENSP 中,划分 VLAN 的步骤如下: 1. 创建 VLAN:在 ENSP 中,选择“配置” -> “接口 VLAN” -> “VLAN” -> “创建 VLAN”,输入 VLAN ID 和 VLAN 名称,点击“确定”。 2. 配置接口:在 ENSP 中,选择“配置” -> “接口 VLAN” -> “接口”,选择要配置的接口,勾选“启用 VLAN”,在“VLAN 列表”中选择要加入的 VLAN,点击“确定”。 3. 配置端口:在 ENSP 中,选择“配置” -> “接口 VLAN” -> “端口”,选择要配置的端口,勾选“启用 VLAN”,在“VLAN 列表”中选择要加入的 VLAN,点击“确定”。 4. 验证配置:在 ENSP 中,选择“工具” -> “命令行界面”,输入命令“display vlan”,查看 VLAN 配置是否正确。 注意:在划分 VLAN 之前,需要先配置好设备的基本网络参数(如 IP 地址、网关、DNS 等),确保设备能够正常通信。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值