最近来了一台华为5700 SI版本交换机,也上了一台防火墙不过是百兆的,主要用于监控与视频会议,为了带宽,防火墙就基本没啥作用了,直接拆了不用,但还是要保证安全,只能在5700上做ACL安全策略,所以研究了一下ACL的配置。
一、说明:
1、华为交换机的ACL规则没变,但下发需要通过流策略traffic policy下发;
2、流策略又包括相应的流分类traffic classifier,流行为traffic behavior;
3、流分类traffic classifier用于绑定相应的ACL规则,流行为traffic behavior决定匹配的流分类是否permit或deny;
4、ACL规则里只需配置匹配的流,使用permit标识,而deny基本没啥用;
5、如果有多个ACL number,在流策略traffic policy里需要按顺序绑定(根据业务是先允午后禁止或先禁止后允许),800说可以配优先级,但我么有发现命令。
6、在接口的inbound 方向下发。
二、版本信息
Huawei Versatile Routing Platform Software
VRP (R) software, Version 5.110 (S5700 V200R001C00SPC300)
Copyright (C) 2000-2012 HUAWEI TECH CO., LTD
Quidway S5700-24TP-SI-AC Routing Switch uptime is 17 weeks, 1 day, 7 hours,
三、配置