前言(贼假还前言。哈哈)
由于安全法的出现,很多单位都需要上安全准入的设备,那么准入如何部署,部署方式有很多种,我这边采用的是将某个楼层访问内网数据的流量引向准入设备,当有流量匹配到改数据信息时则需要准入进行允许或者禁止达到准入的目的。
由于客户环境是多楼层汇聚至华三的核心交换机,那么就需要将准入的设备接入在核心上,方便进行流量牵引。在某楼层和核心互联接口的in方向做策略路由,指引流量。
具体配置如下(留个档,免得忘了)
1.定义acl 匹配兴趣流
2.定义traffic classifier (流量分类----匹配那一条acl)
3.定义traffic behavior (流量动作----如吓一跳扔到哪里)
4.定义策略(将classify和behavior捆绑)
5.接口应用用在in还是out方向
完工
具体命令
acl number 2001 name test
rule 10 permit source 192.168.90.0 255.255.255.0
rule 20 permit destination 10.1.1.0 255.255.255.0
traffic classifier 2001 operator and
if-match acl name test
traffic behavior test
redirect next-hop 192.168.0.254(准入地址) fail-action forward
qos policy test
classifier test behavior tets
int g0/0
qos apply policy test inbound
个人随笔记录,如有问题请联系我处理。
转载于:https://blog.51cto.com/livetony/2048300