配置acl->流分类->流行为->流策略->应用在端口上
一、配置acl
二、配置流分类
执行命令traffic classifier classifier-name [ operator { and | or } ] [ precedence precedence-value ],创建一个流分类并进入流分类视图,或进入已存在的流分类视图。
and表示流分类中各规则之间关系为“逻辑与”,指定该逻辑关系后:
当流分类中有ACL规则时,报文必须匹配其中一条ACL规则以及所有非ACL规则才属于该类;当流分类中没有ACL规则时,则报文必须匹配所有非ACL规则才属于该类。
or表示流分类各规则之间是“逻辑或”,即报文只需匹配流分类中的一个或多个规则即属于该类。缺省情况下,流分类中各规则之间的关系为“逻辑或”。
traffic classifier liufenlei operator and precedence 5
if-match acl 3000 //匹配acl
三、配置流行为
执行命令traffic behavior behavior-name,创建一个流行为并进入流行为视图,或进入已存在的流行为视图。
请根据实际情况定义流行为中的动作,只要各动作不冲突,都可以在同一流行为中配置。
配置报文过滤:deny | permit
traffic behavior liuxingwe
deny
四、配置流策略
执行命令traffic policy policy-name [ match-order { auto | config } ],创建一个流策略并进入流策略视图,或进入已存在的流策略视图。创建流策略时,如果未指定规则匹配顺序,缺省规则匹配顺序为config。
应用流策略后,不能再使用该命令来修改策略中流分类的匹配顺序。必须先清除该策略的应用,再重新创建并指定所需的匹配顺序。
设备支持在创建流策略时指定流策略中多个规则的匹配顺序,匹配顺序包括自动顺序(auto)和配置顺序(config)两种:
如果选择自动顺序,匹配顺序由系统预先指定的流分类类型的优先级决定,该优先级由高到低依次为:基于二层和IPv4三层信息流分类 > 基于二层信息流分类 > 基于IPv4三层信息流分类。规则优先匹配优先级高的流分类。当某一数据流量同时匹配不同流分类,且对应的流行为存在冲突时,只有流行为优先级高的规则生效。
如果选择配置顺序,匹配顺序由流分类规则的优先级决定,先匹配优先级较高的流分类规则。配置流分类时指定优先级,则数值越小,优先级越高;如果配置流分类时未指定precedence-value,则系统自动为流分类分配一个优先级,其值为:[ (max-precedence + 5)/ 5 ] * 5,其中max-precedence为系统当前流分类优先级中数值最大的优先级。关于流分类优先级的详细说明,请参见traffic classifier。
执行命令classifier classifier-name behavior behavior-name,在流策略中为指定的流分类配置所需流行为,即绑定流分类和流行为。
traffic policy liucelue match-order config //配置流策略
classifier liufenlei behavior liuxingwe //绑定流分类和流行为
五、应用流策略
执行命令interface interface-type interface-number[.subinterface-number ],进入接口视图或子接口视图。
执行命令traffic-policy policy-name { inbound | outbound },在接口或子接口视图上应用流策略。
每个接口的每个方向上能且只能应用一个流策略,但同一个流策略可以同时应用在不同接口的不同方向。
六、维护
执行命令display traffic policy statistics { global [ slot slot-id ] | interface interface-type interface-number [.subinterface-number ] | vlan vlan-id } { inbound | outbound } [ verbose { classifier-base | rule-base } [ class classifier-name ] ],查看全局、指定单板、指定接口或指定VLAN下应用流策略后的报文统计信息。
扫一扫
2190
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
