-
traffic-filter命令用于在网络设备上配置ACL规则,以实现流量过滤和控制。通常用于路由器、交换机等设备上,用于对网络流量进行精细控制和安全保护。
-
traffic-secure命令用于在网络设备上配置安全策略,以保护网络安全。通常用于防火墙等设备上,用于检测并防范网络攻击、恶意软件等安全威胁。
-
traffic-policy命令用于在网络设备上配置QoS(Quality of Service)策略,以优化网络性能和资源利用。通常用于交换机、路由器等设备上,用于对网络流量进行分类、调度、控制等处理。
比如说,一个公司的网络中有一台核心路由器,这台路由器需要进行以下处理:
对进入路由器的数据流进行分类,根据不同的数据类型进行不同的处理,如优先处理视频流、音频流等实时数据,而对于文件传输、邮件等非实时数据可以稍作缓存再进行传输,从而提高网络性能和用户体验。这时,网络管理员可以使用traffic-policy命令来进行QoS策略的配置,对数据流进行分类和调度。
对进入路由器的数据流进行过滤和控制,只允许符合安全策略的流量通过,防止恶意攻击和非法访问。这时,网络管理员可以使用traffic-filter命令来进行ACL规则的配置,对数据流进行过滤和控制。
对通过路由器的数据流进行深度分析和检测,检测并防范网络攻击、恶意软件等安全威胁。这时,网络管理员可以使用traffic-secure命令来进行安全策略的配置,对数据流进行深度分析和检测。
华为设备:
1.traffic-filter的使用示例:
首先,创建一个名为acl-test的ACL规则,并在其中配置一条允许源IP地址为192.168.1.0/24的数据流通过的规则:
huawei\] acl number 2001 \[huawei-acl-basic-2001\] rule 5 permit ip source 192.168.1.0 0.0.0.255 // 配置第5条规则,允许源地址为192.168.1.0/24的IP数据包通过 \[huawei-acl-basic-2001\] quit 然后,使用traffic-filter命令将ACL规则应用到接口GigabitEthernet0/0/1的入流量中: \[huawei\] interface GigabitEthernet0/0/1 \[huawei-GigabitEthernet0/0/1\] traffic-filter inbound acl-test \[huawei-GigabitEthernet0/0/1\] quit ----------------------------------------------------------------------------------------- 2.traffic-secure的使用示例: 首先,创建一个名为sec-test的安全策略,并在其中配置一条检测并防范SYN Flood攻击的规则: \[huawei\] firewall policy 1 // 进入防火墙策略1的配置模式 \[huawei-firewall-policy-1\] rule 1 permit source any destination any // 配置第1条规则,允许所有源地址和目的地址的流量通过 \[huawei-firewall-policy-1\] rule 2 detect syn-flood // 配置第2条规则,检测SYN洪泛攻击 \[huawei-firewall-policy-1\] quit \[huawei\] firewall defend policy sec-test // 进入防御策略sec-test的配置模式 \[huawei-firewall-defend-sec-test\] quit 然后,使用traffic-secure命令将安全策略应用到接口GigabitEthernet0/0/1的入流量中: \[huawei\] interface GigabitEthernet0/0/1 \[huawei-GigabitEthernet0/0/1\] traffic-secure detect-policy sec-test \[huawei-GigabitEthernet0/0/1\] quit ----------------------------------------------------------------------------------------- 3.traffic-policy的使用示例: 首先,创建一个名为qos-test的QoS策略,并在其中配置一条优先处理视频流的规则: \[huawei\] qos car 1 cir 2000 cbs 8000 // 创建一个叫做1的CAR,设置CIR为2000kbps,CBS为8000Byte \[huawei\] qos car 2 cir 1000 cbs 4000 // 创建一个叫做2的CAR,设置CIR为1000kbps,CBS为4000Byte \[huawei\] traffic classifier cls1 // 创建一个叫做cls1的分类器 \[huawei-classifier-cls1\] if-match ipv4 tos 0x10 // 如果匹配到IPv4数据包并且TOS字段的值为0x10,则匹配成功 \[huawei-classifier-cls1\] quit \[huawei\] traffic behavior beh1 // 创建一个叫做beh1的行为 \[huawei-behavior-beh1\] car cir 1 cbs 1 // 关联CAR 1,并设置CIR和CBS为1 \[huawei-behavior-beh1\] queue cir 1 cbs 1 // 设置队列的CIR和CBS为1 \[huawei-behavior-beh1\] quit \[huawei\] traffic policy qos-test // 创建一个叫做qos-test的流量策略 \[huawei-trafficpolicy-qos-test\] classifier cls1 behavior beh1 // 将分类器cls1和行为beh1关联 \[huawei-trafficpolicy-qos-test\] quit 然后,使用traffic-policy命令将QoS策略应用到接口GigabitEthernet0/0/1的出流量中: \[huawei\] interface GigabitEthernet0/0/1 \[huawei-GigabitEthernet0/0/1\] traffic-policy qos-test outbound \[huawei-GigabitEthernet0/0/1\] quit