周一忙完手头工作,分享一下华为ACL技术的流策略应用技术点:
同样还是用基本ACL和高级ACL分别配合流策略选用in out方向来验证效果。
流策略和简化流策略不同在于它的要素要多于前者,所以要比配合简化流策略要复杂:
复习下流策略三部曲的配置:
就是因为流策略的三部曲,我一要在流策略中定义流行为,还要在In out 方向分别应用,注意配置流策略的三部曲中流行为也是要指定per deny 的动作,因此我要分两组可能性讨论:举个图例,立马就能明白,一个动作对应4总情况。
还是这样拓扑图:总的需求还是vlan2和VLAN3之间不能通讯,但可以和其他主机进行通讯:
由于基本ACL在in 方向没有任何意义。所以只考虑out方向。
而在高级ACL双向都是有意义的。
所以我根据需求,我考虑在vlan2下应用,因此我先定义一个基本ACL:ACL2002:
再建立两条高级ACL 分别对应In方向和ouT 方向:3002对应in方向,3003对应out 方向,这都是我以前做过的配置:
接下来流策略,注意配置流策略的三部曲中流行为也是要指定per deny 的动作,因此意味着在流策略定义中要分别论证in方向的acl的定义规则和 out方向下的acl中的定义规则。所以,我在这里用草图表示了流策略中三部曲组合的图解及给流分类和流行为取名如下:class-b-out 代表了基本ACL在out方向的流分类,class-a-in 代表高级ACL在Out方向的流分类。依次类推。
下面就按照图中的意思去配置流策略:
分别配置流分类名称:这里我把基本ACL和高级ACL分别一起取名:
定义流行为 这里我将流行为的名称分别定义成per deny及相对应动作。在流行为下面的配置参数中,大多数我们用Per 或deny
配置流策略搭配不同的流分类+流行为的组合:
这个配置定义目的就是把之前两步流分类+流行为关联在一起,这里我取名为了简化取class-b-out-per/dent,取带颜色的字段:然后我将流分类和流行为关联在一起,最后才能称之为流策略:
因为我这是基本ACL配合流策略,不用考虑in方向。
因为配置流策略中有两种流行为的动作: Per deny:
所以,这里我也要添加上deny的流行为这种组合:
注意的是不要忘记了高级ACL的流策略配置三部曲中剩下的配置流策略组合了:我在这里就一一配置如图,每个策略对应两个流行为。这里我将总的流策略配置图粘贴:
我们发现配置图中,我并没有将基本ACL配合流策略使用的in方向考虑进去,所以我可以在In 方向忽略不计。
在流策略中我可以看到6种不同的组合,以及不同的对应关系。
在实际的的生产环境中,推荐带上In和Out方向的流策略,这样方便一是好应用ACL,二是方便倒查ACL.
图中的流分类中定义的acl2001是最后修改成2002的,这里我就不改了。
当我配置完基本/高级ACL 针对需求得来的不同流策略组合配置后,下面就要用实验去验证理论结果了。
做实验之前,要在pc3上测试网络通讯是否正常,以便更准确的验证实验性。通讯正常。
流策略应用模式:
接口下应用、VLAN下应用、视图下应用。
接口下应用:
针对需求,我要在拓扑中sw1的g0/0/4口中应用
这次验证的顺序根据ACL的处理机制统计表来完成实验结果:
在sw1上的g0/0/4接口下基本ACL配合流策略使用Out方向:
现在我站在PC3上做测试:
满足实验拓扑的需求原因在于:
我们可以看下ACL2002的定义:
结合流行为中的动作是per 。
因此我的表中就可以这样填写:
时间关系,下次再说
