简介以及详解

此配置是应用在三层交换机中的策略，在大型网络架构中，因为三层交换机划分VLAN并配置了VLANIF后，不同VLAN之间可以互访，以上这些命令制定了访问策略，限制某些IP或者网段禁止访问目标，或只允许某些ip或者网段访问目标

#进入二层

sys

#创建ACL 3000

ACL 3000   

#设置规则允许目标ip段访问15段所有ip，0.0.0.255是从192.168.15.0-192.168.15.254，模糊匹配，rule值越小越先匹配

rule 1 permit ip source 192.168.15.0 0.0.0.255 destination 192.168.15.0 0.0.0.255

#设置规则禁止目标ip段访问15段所有ip，0.0.255.255是192.168.0.0-192.168.254.254，0.0.0.255是从192.168.15.0-192.168.15.254，模糊匹配

rule 2 deny ip source 192.168.0.0 0.0.255.255 destination 192.168.15.0 0.0.0.255 

#创建流分类

traffic classifier tc1 

#将ACL与流分类关联

if-match acl 3000 

quit

#创建流行为（这里详解一下beh的工作流程：先匹配ACL，如是deny那就直接过滤掉，不再通过qos匹配；如是acl是permit,那么接下来qos流量进行匹配。即 traffic behavior使用permit表示按照acl 的规则来进行数据放行,acl中允许那就允许,禁止那就禁止 traffic behavior但是若使用deny,则无论acl规则中的permit或者deny,一律全都丢弃不进行转发. ）

traffic behavior tb1 

#动作为允许

permit  

quit

#创建流策略

traffic policy tp1 

#将流分类tc1与流行为tb1关联

classifier tc1 behavior tb1 

quit

#进入上行端口

int g0/0/48 

traffic-policy tp1 inbound //流策略应用在接口入方向

quit

工作流程解释：用ACL进行分流，即traffic classifier，其次，制定策略动作，即traffic behavior，再次，绑定策略，即traffic policy ，说明了这个策略试用于什么样的数据流，对这些数据流采用什么样的动作。最后，将策略应用于端口并设置正确的策略方向

实战例子

sys

ACL 3000   

rule 1 deny ip source 192.168.4.106 0 destination 192.168.15.0 0.0.0.255

traffic classifier tc1 

if-match acl 3000 

quit

traffic behavior tb1 

deny  

quit

traffic policy tp1 

classifier tc1 behavior tb1 

quit

int g0/0/36 

traffic-policy tp1 inbound 

quit