前言（贼假还前言。哈哈）

由于安全法的出现，很多单位都需要上安全准入的设备，那么准入如何部署，部署方式有很多种，我这边采用的是将某个楼层访问内网数据的流量引向准入设备，当有流量匹配到改数据信息时则需要准入进行允许或者禁止达到准入的目的。由于客户环境是多楼层汇聚至华三的核心交换机，那么就需要将准入的设备接入在核心上，方便进行流量牵引。在某楼层和核心互联接口的in方向做策略路由，指引流量。具体配置如下（留个档，免得忘了）1.定义acl 匹配兴趣流2.定义traffic classifier （流量分类----匹配那一条acl）3.定义traffic behavior （流量动作----如吓一跳扔到哪里）4.定义策略（将classify和behavior捆绑）5.接口应用用在in还是out方向完工具体命令acl number 2001 name testrule 10 permit source 192.168.90.0 255.255.255.0 rule 20 permit destination 10.1.1.0 255.255.255.0traffic classifier 2001 operator and if-match acl name testtraffic behavior testredirect next-hop 192.168.0.254（准入地址） fail-action forward qos policy testclassifier test behavior tetsint g0/0qos apply policy test inbound

个人随笔记录，如有问题请联系我处理。