traffic

这是华为ACL配置中流策略的配置命令。华为设备配置ACL不像Cisco的那样可以直接在接口下配置ACL来应用。华为需要先配ACL，然后配流分类（traffic classifier tc1），将ACL和流分类绑定，再配流行为（traffic behavior tb1），接着配置流策略（traffic policy tp1），最后把策略应用到接口下，让ACL生效。 具体例子如下： 步骤1 配置ACL [Quidway] acl 3000 [Quidway-acl-user-3000] rule deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 步骤2 配置基于用户自定义ACL 的流分类 # 配置流分类tc1，对匹配ACL 3000 的报文进行分类。 [Quidway] traffic classifier tc1 [Quidway-classifier-tc1] if-match acl 3000 步骤3 配置流行为 # 配置流行为tb1，动作为拒绝报文通过。 [Quidway] traffic behavior tb1 [Quidway-behavior-tb1] deny 步骤4 配置流策略 # 定义流策略，将流分类与流行为关联。 [Quidway] traffic policy tp1

闲谈华为交换机5700 ACL配置（亲测） wqxh788关注2人评论14088人阅读2013-12-18 18:06:15 最近来了一台华为5700 SI版本交换机，也上了一台防火墙不过是百兆的，主要用于监控与视频会议，为了带宽，防火墙就基本没啥作用了，直接拆了不用，但还是要保证安全，只能在5700上做ACL安全策略，所以研究了一下ACL的配置。 一、说明： 1、华为交换机的ACL规则没变，但下发需要通过流策略traffic policy下发; 2、流策略又包括相应的流分类traffic classifier，流行为traffic behavior； 3、流分类traffic classifier用于绑定相应的ACL规则，流行为traffic behavior决定匹配的流分类是否permit或deny; 4、ACL规则里只需配置匹配的流，使用permit标识，而deny基本没啥用； 5、如果有多个ACL number，在流策略traffic policy里需要按顺序绑定（根据业务是先允午后禁止或先禁止后允许），800说可以配优先级，但我么有发现命令。 6、在接口的inbound 方向下发。 二、版本信息 Huawei Versatile Routing Platform Software VRP (R) software, Version 5.110 (S5700

官方定义： 先匹配ACL，如是deny那就直接过滤掉，不再通过qos匹配；如是acl是permit,那么接下来qos流量进行匹配。 个人总结： traffic behavior使用permit表示按照acl 的规则来进行数据放行,acl中允许那就允许,禁止那就禁止 traffic behavior但是若使用deny,则无论acl规则中的permit或者deny,一律全都丢弃不进行转发. 组合有如下四种： acl beha 最后的动作 A permit permit permit B permit deny deny C deny permit deny D deny deny deny 例子 [Quidway] acl 3003[Quidway-acl-adv-3003] rule deny ip source 10.164.3.0 0.0.0.255 destination 10.164.9.9 0.0.0.0 time-range satime[Quidway-acl-adv-3003] quit[Quidway] traffic classifier c_rd[Quidway-classifier-c_rd] if-match acl 3... 一：这是应用于三层交换机的策略。 二：因为三层交换机划分VLAN并配置了VLANIF后，不同VLAN之间可以互访

一、说明： 1、华为交换机的ACL规则没变，但下发需要通过流策略traffic policy下发; 2、流策略又包括相应的流分类traffic classifier，流行为traffic behavior； 3、流分类traffic classifier用于绑定相应的ACL规则，流行为traffic behavior决定匹配的流分类是否permit或deny; 4、ACL规则里只需配置匹配的流，使用permit标识，而deny基本没啥用； 5、如果有多个ACL number，在流策略traffic policy里需要按顺序绑定（根据业务是先允午后禁止或先禁止后允许），800说可以配优先级，但我么有发现命令。 6、在接口的inbound 方向下发。 二、版本信息 Huawei Versatile Routing Platform Software VRP ® software, Version 5.130 (S5700 V200R003C00SPC300) Copyright © 2000-2013 HUAWEI TECH CO., LTD Quidway S5700-52C-SI 三、配置 1、需求 1）只允许特定的网段（192.168.1.0/24)到特定的网段192.168.2.0/24)的访问 2）禁止特定的网段（192.168.1.0/24) 到any的访问。 2、配置：

SW1配置 # sysname SW1 # vlan batch 11 to 13 100 # cluster enable ntdp enable ndp enable # drop illegal - mac alarm # diffserv domain default # drop - profile default # aaa authentication - scheme default authorization - scheme default accounting - scheme default domain default domain default_admin local - user admin password simple admin local - user admin service - type http # interface Vlanif1 # interface MEth0 / 0 / 1 # interface Ethernet0 / 0 / 1 port link - type access port default vlan 11 # interface Ethernet0 / 0 / 2 port link - type access port default vlan 12 # interface Ethernet0 / 0 /

By admin on May 29, 2011 I have been working on clustering code improvements in the Tigase server for last a few months to make it more reliable and better scale. In article about XMPP Service sharding - Tigase on Intel ATOMs I have presented some preliminary results on a small scale. In last weeks I had a great opportunity to run several tests over the Tigase cluster of 10 nodes on much better hardware. The goal was to achieve 1mln online users connected to the cluster generating sensible traffic. More tests have been run to see how the cluster behaves with a different number of connections

WEP Cracking Packet Injection What if the AP was idle, or had no clients associated with it? In this case, we have to inject packets into the traffic in order to force the router to create new packets with new IV's. Before we can start injecting packets into the traffic, we have to authenticate our wifi card with the AP, because AP's ignore any requests that come from devices that are not associated with the AP. This can be done easily using airmon-ng like so aireplay-ng --fakeauth 0 -a[target MAC] -h[your MAC] [interface] If this fake authentication was successful the value under the "AUTH"