华为策略工具大全——流策略
一、traffic-filter
流过滤,用来阻止数据流的通信访问,使用ACL对源数据流进行匹配,可以是基本ACL对源进行匹配,也可以是高级ACL对目标进行匹配。
规则
如果ACL定义的行为为Deny,则丢弃该报文
①
如果ACL定义的行为为Permit,则放行该报文
②
如果ACL没有定义该报文的行文,放行该报文
③
配置举例:
只允许192.168.1.0的网段访问192.168.4.2,拒绝其余所有的流量访问192.168.4.2
AR2:
[Huawei-acl-adv-3000]rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.4.2 0
[Huawei-acl-adv-3000]rule 10 deny ip source any
[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 3000
二、traffic-policy:
流策略,主要用于对数据流的策略行为,流策略是对流量转发的控制工具,它使用acl进行流量的匹配,使用流分类和流行为对数据流进行匹配与控制访问。
(1)traffic classifier:
流分类,用户可以使用流分类来匹配traffic-policy中需要处理的流量,流分类使用acl进行流量的匹配:
[Huawei]traffic classifier 1 --------定义流量分类1
[Huawei-classifier-1]if-match acl 2000--------调用ACL规则
(2)traffic behavior:
流行为,在匹配除流量之后,使用traffic behavior定义对数据流的行为。
[Huawei]traffic behavior 1-------定义流量行为1
[Huawei-behavior-1]permit--------定义流行为
(3)traffic-policy:
当匹配完数据流,定义好数据流的行为之后,使用traffic-policy将流分类和流行为进行绑定,也可以用来调用ACL,并在端口上调用traffic-policy。
[Huawei]traffic policy 1-------定义流量策略1
[Huawei-trafficpolicy-1]classifier 1 behavior 1------绑定流量分类1和流量行为1
[Huawei]inter g0/0/1
[Huawei-GigabitEthernet0/0/1]traffic-policy 1 inbound------在接口上调用,当有流量进入vlan30的时候,启用流策略1