华为交换机ACL配置问题！

tomxl

本吊是H3CNE认证(背题过的)，很少配设备，现在搞个华为的ACL硬是不通，姿势储备不足啊，望高人指点一招半式！

华为5700交换机， VLAN 10（10.0.0.0/24）VLAN 20（172.16.0.0/24） VLAN 30(192.168.0.0/24) VLAN 31(192.168.1.0/24)

需求是
VLAN31网段仅可以VLAN10网段的网关设备访问互联网，禁止访问其他VLAN；

VLAN30网段可以通过VLAN10网段的网关设备访问互联网，也可以访问VLAN10及VLAN20网段的设备；

VLAN20网段几个核心设备通过端口映射可以对外公网提供服务（网关设备端口已经映射到相关设备，外网正常访问），但该网段不能主动对外访问任何网络；

VLAN10网段和VLAN20网段在核心上分配了几个固定端口为access模式(暂用使用1个端口连接无管理交换机)，VLAN30/31网段是通过二层接入交换机到核心的，连接端口是trunk模式；

现在我配置一条ACL　
[Switch] acl number 3001
[Switch] rule 5 deny ip source 172.16.0.0 0.0.0.255 destination 10.0.0.0 0.0.0.255
[Switch] rule 10 deny ip source 172.16.0.0 0.0.0.255 destination 192.168.0.0 0.0.0.255
[Switch] rule 15 deny ip source 172.16.0.0 0.0.0.255 destination any

[Switch] traffic classifier tc1  //创建流分类
[Switch-classifier-tc1] if-match acl 3001  //将ACL与流分类关联
[Switch-classifier-tc1] quit

[Switch] traffic behavior tb1  //创建流行为
[Switch-behavior-tb1] deny  //配置流行为动作为拒绝报文通过
[Switch-behavior-tb1] quit
[Switch] traffic policy tp1  //创建流策略
[Switch-trafficpolicy-tp1] classifier tc1 behavior tb1  //将流分类tc1与流行为tb1关联
[Switch-trafficpolicy-tp1] quit

配置连接VLAN20的端口(连接VLAN20网段无管理交换机)
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet1/0/1] traffic-policy tp1 inbound  //流策略应用在接口入方向
[Switch-GigabitEthernet1/0/1] quit


现在我只配置了VLAN20的单向访问规则，发现已配置的规则未生效，不知问题出在哪里？

求高人指点！

3560467

感谢分享啊

3560467

感谢分享啊

nice.com

谢谢

wei6112

Thank you

knightlk

报文命中deny规则时，只有在流行为是流量统计或流镜像的情况下，设备才会执行流行为动作，否则流行为动作不生效