应用高级ACL配置流分类示例 组网需求 如HYPERLINK"mk:@MSITStore:C:\\Users\\WangNan\\AppData\\Local\\Temp\\Rar$DIa0.780\\S7700&S9700&S12700%20系列交换机%20V200R006C00%20产品文档%2001.chm::/dc/dc_cfg_ACL_0083.html"\l"dc_cfg_ACL_0083_1__fig_dc_cfg_ACL_008301"图1所示，公司企业网通过Switch实现各部门之间的互连。要求正确配置ACL，禁止研发部门和市场部门在上班时间（8:00至17:30）访问工资查询服务器（IP地址为10.164.9.9），而总裁办公室不受限制，可以随时访问。 图1应用高级ACL配置流分类组网图 配置思路 采用如下的思路配置ACL： 配置接口IP地址。 配置时间段。 配置ACL。 配置流分类。 配置流行为。 配置流策略。 在接口上应用流策略。 操作步骤 配置接口IP地址 #配置接口加入VLAN，并配置VLANIF接口的IP地址。 规划GE1/0/1～GE1/0/3分别加入VLAN10、20、30，GE2/0/1加入VLAN100。VLANIF接口的地址取所在网段的第一个IP地址。下面配置以GE1/0/1接口为例，其他接口的配置与此类似，不再赘述。 <HUAWEI>system-view [HUAWEI]vlanbatch102030100 [HUAWEI]interfacegigabitethernet1/0/1 [HUAWEI-GigabitEthernet1/0/1]portlink-typeaccess [HUAWEI-GigabitEthernet1/0/1]portdefaultvlan10 [HUAWEI-GigabitEthernet1/0/1]quit [HUAWEI]interfacevlanif10 [HUAWEI-Vlanif10]ipaddress10.164.1.1255.255.255.0 [HUAWEI-Vlanif10]quit 配置时间段 #配置8:00至17:30的周期时间段。 [HUAWEI]time-rangesatime8:00to17:30working-day 配置ACL #配置市场部门到工资查询服务器的访问规则。 [HUAWEI]acl3002 [HUAWEI-acl-adv-3002]ruledenyipsource10.164.2.00.0.0.255destination10.164.9.90.0.0.0time-rangesatime [HUAWEI-acl-adv-3002]quit #配置研发部门到工资查询服务器的访问规则。 [HUAWEI]acl3003 [HUAWEI-acl-adv-3003]ruledenyipsource10.164.3.00.0.0.255destination10.164.9.90.0.0.0time-rangesatime [HUAWEI-acl-adv-3003]quit 配置基于ACL的流分类 #配置流分类c_market，对匹配ACL3002的报文进行分类。 [HUAWEI]trafficclassifierc_market [HUAWEI-classifier-c_market]if-matchacl3002 [HUAWEI-classifier-c_market]quit #配置流分类c_rd，对匹配ACL3003的报文进行分类。 [HUAWEI]trafficclassifierc_rd [HUAWEI-classifier-c_rd]if-matchacl3003 [HUAWEI-classifier-c_rd]quit 配置流行为 #配置流行为b_market，动作为拒绝报文通过。 [HUAWEI]trafficbehaviorb_market [HUAWEI-behavior-b_market]deny [HUAWEI-behavior-b_market]quit #配置流行为b_rd，动作为拒绝报文通过。 [HUAWEI]trafficbehaviorb_rd [HUAWEI-behavior-b_rd]deny [HUAWEI-behavior-b_rd]quit 配置流策略 #配置流策略p_market，将流分类c_market与流行为b_market关联。 [HUAWEI]trafficpolicyp_market [HUAWEI-trafficpolicy-p_market]classifierc_marketbehaviorb_market [HUAWEI-trafficpolicy-p_