Фильтрация PADI на коммутаторах Huawei с помощью ACL
Для начала о предстоящей задаче.
Мне необходимо было зафильтровать все PADI пакеты на порту во всех VLAN-ах, кроме одного, в моем случае vid 113
Теперь по порядку.
1.Создаем сами ACL-ы. Их нам нужно будет 2 штуки один для блокировки PADI глобально, другой для пропуска PADI в 113 vlan-е
acl number 4001 rule 5 permit l2-protocol 0x8863 acl number 4002 rule 4 permit l2-protocol 0x8863 vlan-id 113
2. Создаем 2 классификатора и привязываем к ним наши ACL-ы
traffic classifier c_padi operator and if-match acl 4001 traffic classifier c_padi_v113 operator and if-match acl 4002
3. Создаем бихевьоры и назначем, как им себя вести. Как видно, одному запрещаю, другому разрешаю
traffic behavior b_padi deny traffic behavior b_padi_v113 permit
4. Создаем полиси и добавляем туда связки классификаторов с бихевьорами (если есть такое слово))). Тут тоже вроде понятно всё. Хочу только сделать заметку, то что порядок важен в данном случае. сначала связка где разрешаем PADI в 113 vlan-e затем связка где запрещаем всем остальным.
traffic policy p_padi match-order config classifier c_padi_v113 behavior b_padi_v113 classifier c_padi behavior b_padi
5. Накидываем полиси на порт коммутатора
interface XGigabitEthernet0/0/6 traffic-policy p_padi outbound
- Для комментирования войдите или зарегистрируйтесь