扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在本页阅读全文(共3页)
任何一中流量控制的策略必须要首先制定要控制的是哪一种流量,以及如何处理这些流量。VACL与普通的ACL的相同,列表也是按照顺序进行匹配的。ACL号相同的所有ACL形成一个组,在判断一个数据帧时,使用同一组中的条目从上到下逐一进行判断,一遇到满足的条目就终止对该数据帧的判断。基本的配置方法如下:
1.配置ACL
Set security acl ip {acl_name} {permit |deny |redirect mod/port} {protocol} {sourceaddress mask} [op] [srcport] {dest mask} [op] [destport] [before editbuffer_index |modify editbuffer_index] [log]
Set security acl ip命令后面指定IP ACL的名字,后面是协议的说明和采取的措施。
Permit |deny分别对应为:Permit是允许通过,deny是丢弃包。如果加上Redirect选项就代表不使用CAM(content addressable memory),而把流量发送到交换机上一个指定的mod/port对应的端口上。对于COS的交换机来说ACL直到被提交之前都首先写入一个特殊的缓冲区,并不作为交换机当前运行的条目,before和modify参数是指将配置的acl条目放到某条列表之前或者修改其实的参数。
2.写入到TCAM
前面已经说到了,在配置完ACL之后,它只在编辑缓冲区里面,我们必须同过commit security acl命令将配置写入到TCAM(ternary content addressable memory)。完整的命令参数如下:
commit security acl {name | all }
name 选项为只提交指定的名称列表(可以使用show security acl ip name editbuffer 查看编辑缓冲区内未被提交到内容的控制条目),all 选项指提交所有未写入的VACL。
3.映射到VLAN
VACL与ACL都需要在提交之后把它们对应到作用对象上,如interface vlan1///ip access-group 101 out:这两句将access-list 101应用到vlan1接口的out方向。其中101是ACL号,和相应的ACL进行关联。Out是对路由器该接口上哪个方向的包进行过滤,可以有in和out两种选择。COS VACL的配置同上面的道理一样,具体体现在:一个VLAN只能有一个VACL映射对其起作用,但一个VACL可以同时被多个VLAN同时调用。命令参数如下:
Set security acl map acl_name vlan
除了使用show security acl ip name editbuffer 可以查看编辑缓冲区的内容以外,在应用到VLAN以后,我们可以使用 show security acl info 和show security acl map 核实对配置和映射的结果。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。