流策略中使用高级ACL限制用户特定端口访问案例

流策略中使用高级ACL限制用户特定端口访问案例如图所示，某企业通过Switch实现各部门之间的互连。研发部门划分在VLAN10中，规划为/24网段。市场部门划分在VLAN20中，规划为/24网段。现要求Switch能够限制两个网段之间互访，不允许研发部门访问市场部门归档在FTP服务器的机密文档。配置思路采用如下的思路在SW4上进行配置:1.配置接口所属的1.配置接口所属的VLAN以及接口的IP地址。2.3.4.配置流行为，拒绝匹配ACL的报文通过。5.配置流策略，绑定流分类和流行为。2.3.4.配置流行为，拒绝匹配ACL的报文通过。5.配置流策略，绑定流分类和流行为。6.在接口上应用流策略，使ACL和流行为生效配置高级ACL和ACL规则，拒绝研发部门访问市场部门FTP服务器的报文通过。配置基于ACL的流分类，对研发部门访问市场部门FTP服务器的报文进行过滤。操作步骤步骤1配置接口所属的VLAN以及接口的IP地址#仓U建VLAN10和VLAN20<SW4>system-view[SW4]vlanbatch1020#配置SW4的接口GE0/0/1和GE0/0/2为trunk类型接口，并分别加入VLAN10和VLAN20[SW4]interfacegigabitethernet0/0/1[SW4-GigabitEthernet0/0/1]portlink-typetrunk[SW4-GigabitEthernet0/0/1]porttrunkallow-passvlan10[SW4-GigabitEthernet0/0/1]quit[SW4]interfacegigabitethernet0/0/2[SW4-GigabitEthernet0/0/2]portlink-typetrunk[SW4-GigabitEthernet0/0/2]porttrunkallow-passvlan20[SW4-GigabitEthernet0/0/2]quit#创建VLANIF10和VLANIF20,并配置各VLANIF接口的IP地址[SW4]interfacevlanif10[SW4-Vlanif10]ipaddress24[SW4-Vlanif10]quit[SW4]interfacevlanif20[SW4-Vlanif20]ipaddress24[SW4-Vlanif20]quit步骤2配置ACL#配置高级ACL和ACL规则，拒绝研发部门访问市场部门FTP服务器的报文通过。[SW4]acl3001[SW4-acl-adv-3001]rule10denytcpdestination55destination-porteq20[SW4-acl-adv-3001]rule15denytcpdestination55destination-porteq21[SW4-acl-adv-3001]rule20permitip[SW4-acl-adv-3001]quit步骤4配置流行为#配置流行为tb1,动作为拒绝报文通过。[SW4]trafficbehaviortb1[SW4-behavior-tb1]deny[SW4-behavior-tb1]quit步骤5配置流策略#定义流策略，绑定流分类和流行为。[SW4]trafficpolicytp1[SW4-trafficpolicy-tp1]classifiertc1behaviortb1[SW4-trafficpolicy-tp1]quit步骤6在接口下应用流策略[SW4]interfacegigabitethernet0/0/1[SW4-GigabitEthernet1/0/1]traffic-policytp1inbound[SW4-GigabitEthernet1/0/1]quit步骤7验证配置结果#查看ACL规则的配置信息。<SW4>displayacl3001AdvancedACL3001,3rulesAcl'sstepis5rule10denytcpdestination55destination-porteqftp-datarule15denytcpdestination55destination-porteqftprule20permitip<SW4>#查看流分类的配置信息。<SW4>displaytrafficclassifieruser-definedUserDefinedClassifierInformation:Classifier:tc1Operator:ANDRule(s):if-matchacl3001Totalclassifiernumberis1#查看流策略的配置信息<SW4>displaytrafficpolicyuser-de