H3C三层交换机策略路由---准入流量导入实施

最新推荐文章于 2024-01-12 11:33:53 发布
最新推荐文章于 2024-01-12 11:33:53 发布
阅读量1.2k 收藏 6
点赞数
原文链接:http://blog.51cto.com/livetony/2048300
版权

前言(贼假还前言。哈哈)
由于安全法的出现,很多单位都需要上安全准入的设备,那么准入如何部署,部署方式有很多种,我这边采用的是将某个楼层访问内网数据的流量引向准入设备,当有流量匹配到改数据信息时则需要准入进行允许或者禁止达到准入的目的。
由于客户环境是多楼层汇聚至华三的核心交换机,那么就需要将准入的设备接入在核心上,方便进行流量牵引。在某楼层和核心互联接口的in方向做策略路由,指引流量。
具体配置如下(留个档,免得忘了)
1.定义acl 匹配兴趣流
2.定义traffic classifier (流量分类----匹配那一条acl)
3.定义traffic behavior (流量动作----如吓一跳扔到哪里)
4.定义策略(将classify和behavior捆绑)
5.接口应用用在in还是out方向
完工
具体命令
acl number 2001 name test
rule 10 permit source 192.168.90.0 255.255.255.0
rule 20 permit destination 10.1.1.0 255.255.255.0
traffic classifier 2001 operator and
if-match acl name test
traffic behavior test
redirect next-hop 192.168.0.254(准入地址) fail-action forward
qos policy test
classifier test behavior tets
int g0/0
qos apply policy test inbound

个人随笔记录,如有问题请联系我处理。

转载于:https://blog.51cto.com/livetony/2048300

weixin_33921089
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
H3C多出口策略路由配置
小菜鸡的春天的博客
08-11 4581
策略路由(policy-based-route)是一种依据用户制定的策略进行路由选择的机制。与单纯依照IP报文的目的地址查找路由表进行转发不同,策略路由基于到达报文的源地址、长度等信息灵活地进行路由选择。对于满足一定条件(报文长度或ACL规则)的报文,将执行一定的操作(设置转发报文的VPN实例、设置报文的优先级、设置报文的出接口和下一跳、设置报文的缺省出接口和下一跳等),以指导报文的转发。
安全的网络通道——网络准入之三层准入
Amy的学习之路
06-25 3759
随着网络的
15.三层交换与二层交换、策略路由路由策略
✍千里之行,始于足下 ^,^
09-16 2659
1.什么是三层交换机三层交换机就是具有部分路由器功能的交换机,工作在OSI网络标准模型的第三层:网络层。 三层交换机的最重要目的是快大型局域网内部的数据交换,所具有的路由功能也是为这目的服务的,能够做到一次路由,多次转发。 对于数据包转发等规律性的过程由硬件高速实现,而像路由信息更新、路由表维护、路由计算、路由确定等功能,由软件实现。 为什么三层交换机可以实现一次路由,多次交换? 三层交换...
华为数通笔记-网络准入控制
qq_45959697的博客
06-09 7488
1.非法用户随意接入园区内部网络,会危害园区的信息安全。防病毒软件未实现集中管理,补丁管理混乱,企业即便购买了防病毒软件,但很难保证所有的终端其病毒特征库都是最新的,导致一旦某台终端感染病毒或恶意代码,很快会在内网泛滥。2.接入园区网络的终端种类多,且园区内用户行为难以管控。3.出于对安全问题的考虑,园区网络不能对所有终端开放访问权限,需要基于终端对应的用户身份和终端状态进行认证,不符合条件的终端不能接入网络用户终端:各种终端设备,例如PC、手机、打印机、摄像头等。网络准入设备:终端访问网络的认证控制点,准
10.12 ——透明网桥,路由策略准入技术
GaLeng_Yang的博客
10-12 1401
准入
H3C交换机双出口策略路由配置,多出口均可参考
最新发布
w2233w的博客
01-12 2690
策略路由的应用,一个网络有多条线路进来,同时网络内有多个不同网段,每个网段需要走不同的线路出去,这时就需要策略路由来控制。
华三(H3C)S5000-16X-EI 16口全万兆交换机产品介绍.docx
04-14
华三(H3C)S5000-16X-EI 交换机知识点 1. 产品特点: 华三(H3C)S5000-16X-EI 交换机具有高密万兆接入能力,提供强大的转发性能及大容量交换服务。 2. IRF2(第二代智能弹性架构)技术: IRF2 技术将多台物理...
H3C-S5500-52C-EI产品介绍.docx
11-28
H3C S5500-52C-EI 是一款高效能的三层万兆以太网交换机,设计用于满足企业网络、大型园区网和城域网边缘的汇聚及核心需求。这款交换机以其出色的扩展性、IPv4/IPv6 双栈支持、智能弹性架构、高可靠性、高性能和强大...
H3C-S5500-52C-EI产品介绍.pdf
11-28
H3C S5500-52C-EI 是一款高效能、强扩展性的增强型IPv6三层万兆以太网交换机,专为大型企业网络、园区网汇聚、中小企业核心以及城域网边缘应用设计。这款产品以其卓越的安全性、可靠性及多业务支持能力脱颖而出。 ...
H3C交换机 802.1X+AD+CA+IAS进行802.1
10-09
H3C交换机支持802.1X协议,结合Active Directory(AD)服务器进行AAA(Authentication, Authorization, and Accounting,即认证、授权、审计)认证,实现精细的安全准入控制。本文将详细介绍H3C交换机配置802.1X与AD...
H3C 三层交换机策略路由配置方法
热门推荐
bing0924的博客
08-31 2万+
ACL配置: acl number 3010 description CU_10Mbps ServiceNAT rule 5 permit ip source 192.168.1.2 0 rule 10 permit ip source 192.168.1.3 0 rule 15 permit ip source 192.168.1.4 0 acl number 3011 r
H3C S5500核心交换机策略路由调度流量到不同的路由设备
weixin_33670786的博客
12-01 600
 场景描述: 一台华为AR系列路由器(图中R1),一台H3C MSR系列路由器,                  一台H3C S5500 核心交换机.                   AR路由器接入WAN1和WAN2两条线路,H3C路由器接入WAN3线路无线网络专用.                   内网使用172.16.x.x/24 ; wifi 使用172.16.100.0/23  ...
H3C路由器带宽保证(命令行)配置方法
qq_23930765的博客
01-19 3559
某企业路由器接入业务有语音业务、管理部门业务和普通业务。要求当网络出现拥塞时,语音业务速转发,管理部门业务确保转发,剩余或空闲带宽用于普通业务。queue af bandwidth pct 20 //为行为af-1配置采用AF队列,并且确保最小带宽为接口带宽的20%qos reserved-bandwidth pct 10 //接口的最大预留带宽占可用带宽的百分比为10%queue ef bandwidth pct 40 //配置报文进入EF队列,最大带宽为接口带宽的40%3.3配置两个流行为。
华为、华三、锐捷、飞塔、山石的抓包命令
weixin_45457085的博客
07-06 7079
SW1-Ethernet2/0/0] mirror to observe-port 1 inbound //将该接口的入方向流量复制一份到观察端口1上。[SW1] observing-port 1 interface g0/0/24 //指定观察端口1为G0/24口。[SW1] observing-port 1 interface g0/0/24 //指定观察端口1为G0/24口。] //将镜像端口绑定到观察端口。
流量牵引在抗DDOS中的应用
zbuger的博客
06-13 4743
什么是流量牵引   下图中的Defender就是我们熟悉的抗DDoS设备,Probe是一个专门用来分析网络流量的预警设备。对于这些网络安全设备我们并不陌生,但对于这样的拓扑结构恐怕就不常见了。两个路由器之间是两条并行的线路,在以往部署抗DDoS攻击设备的时候通常是把它直接串联在网络中,正常流量和攻击流量都穿过抗DDoS设备。让我们先根据这个简单的拓扑来解释一下什么是流量牵引。
华为 S5720 配置
tan88881111的博客
10-18 1万+
vlan batch 10 to 11 16 20 22 24 30 # telnet server enable # dhcp enable # diffserv domain default # acl number 3000  description vlan6  rule 10 permit ip source 192.168.0.0 0.0.0.255 destination 192.1...
锐捷网络极简X SDN——准入管控方案部署:旁挂模式
君逍遥o
12-18 1521
1.1 用户上网前,dhcp获取和arp学习1.2 通过二层引流或镜像,在旁挂设备上捕获arp/dhcp报文1.3 将捕获到的arp/dhcp报文pack-in给控制器1.4 控制器学习或审批后,下发放通表项1.5 用户发起访问(发出ip报文)1.6 终端访问报文上行到出口1.7 终端访问报文下行返回1.8 在现网网关上配置PBR,强行将下行三层转发流量引流到旁挂管控设备1.9 根据SDN控制器管控终端放通与否,旁挂设备决定是否将下行流量引回网关。
【网络】新华三H3C交换机 抓包|H3C交换机文档
bandaoyu的note
04-21 1万+
摘自:https://cshihong.github.io/2020/11/20/%E5%A6%82%E4%BD%95%E5%9C%A8%E4%BA%A4%E6%8D%A2%E6%9C%BA%E4%B8%8A%E6%8A%93%E5%8C%85/ H3C交换机抓包: 在华三交换机上可使用:packet-capture 命令,在用户视图下执行。 具体操作可查看这:https://www.h3c.com/cn/d_202009/1327093_30005_0.htm 复制 1 2 3 4 5
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值