H3C交換機典型(ACL)訪問控制列表配置例項

2021-06-21 11:33:49 字數 2868 閱讀 7611

一、組網需求

1.通過配置基本訪問控制列表,實現在每天8:00~18:00時間段內對源ip為10.1.1.2主機發出報文的過濾; www.jb51.net

2.要求配置高階訪問控制列表,禁止研發部門與技術支援部門之間互訪,並限制研發部門在上班時間8:00至18:00訪問工資查詢伺服器;

3.通過二層訪問控制列表,實現在每天8:00~18:00時間段內對源mac為00e0-fc01-0101的報文進行過濾。

二、組網圖

三、配置步驟

h3c 3600 5600 5100系列交換機典型訪問控制列表配置

共用配置

1.根據組網圖,建立四個vlan,對應加入各個埠

system-view

[h3c]vlan 10

[h3c-vlan10]port gigabitethernet 1/0/1

[h3c-vlan10]vlan 20

[h3c-vlan20]port gigabitethernet 1/0/2

[h3c-vlan20]vlan 30

[h3c-vlan30]port gigabitethernet 1/0/3

[h3c-vlan30]vlan 40

[h3c-vlan40]port gigabitethernet 1/0/4

[h3c-vlan40]quit

2.配置各vlan虛介面位址

[h3c]inte***ce vlan 10

[h3c-vlan-inte***ce10]ip address 10.1.1.1 24

[h3c-vlan-inte***ce10]quit

[h3c]inte***ce vlan 20

[h3c-vlan-inte***ce20]ip address 10.1.2.1 24

[h3c-vlan-inte***ce20]quit

[h3c]inte***ce vlan 30

[h3c-vlan-inte***ce30]ip address 10.1.3.1 24

[h3c-vlan-inte***ce30]quit

[h3c]inte***ce vlan 40

[h3c-vlan-inte***ce40]ip address 10.1.4.1 24

[h3c-vlan-inte***ce40]quit

3.定義時間段

[h3c] time-range huawei 8:00 to 18:00 working-day

需求1配置(基本acl配置)

1.進入2000號的基本訪問控制列表檢視

[h3c-gigabitethernet1/0/1] acl number 2000

2.定義訪問規則過濾10.1.1.2主機發出的報文

[h3c-acl-basic-2000] rule 1 deny source 10.1.1.2 0 time-range huawei

3.在介面上應用2000號acl

[h3c-acl-basic-2000] inte***ce gigabitethernet1/0/1

[h3c-gigabitethernet1/0/1] packet-filter inbound ip-group 2000

[h3c-gigabitethernet1/0/1] quit

需求2配置(高階acl配置)

1.進入3000號的高階訪問控制列表檢視

[h3c] acl number 3000

2.定義訪問規則禁止研發部門與技術支援部門之間互訪

[h3c-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255

3.定義訪問規則禁止研發部門在上班時間8:00至18:00訪問工資查詢伺服器

[h3c-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range huawei

[h3c-acl-adv-3000] quit

4.在介面上用3000號acl

[h3c-acl-adv-3000] inte***ce gigabitethernet1/0/2

[h3c-gigabitethernet1/0/2] packet-filter inbound ip-group 3000

需求3配置(二層acl配置)

1.進入4000號的二層訪問控制列表檢視

[h3c] acl number 4000

2.定義訪問規則過濾源mac為00e0-fc01-0101的報文

[h3c-acl-ethernetframe-4000] rule 1 deny source 00e0-fc01-0101 ffff-ffff-ffff time-range huawei

3.在介面上應用4000號acl

[h3c-acl-ethernetframe-4000] inte***ce gigabitethernet1/0/4

[h3c-gigabitethernet1/0/4] packet-filter inbound link-group 4000

2 h3c 5500-si 3610 5510系列交換機典型訪問控制列表配置

需求2配置

H3C交換機典型(ACL)訪問控制列表配置例項

一 組網需求 1 通過配置基本訪問控制列表,實現在每天8 00 18 00時間段內對源ip為10.1.1.2主機發出報文的過濾 www.jb51.net 2 要求配置高階訪問控制列表,禁止研發部門與技術支援部門之間互訪,並限制研發部門在上班時間8 00至18 00訪問工資查詢伺服器 3 通過二層訪問...

H3C交換機單向訪問控制

交換機vlan10 172.16.1.254,vlan1 192.168.1.225 pc1 192.168.1.224 閘道器192.168.1.225 pc2 172.16.1.10 閘道器 172.16.1.254 192.168.1.224可以ping172.16.1.10,反過來拒絕 抓包...

h3c交換機限制埠訪問

h3c交換機設定限制公司員工訪問外網 使用的環境,把不能訪問80埠跟qq伺服器的使用者劃入vlan 50。acl number 3001設定訪問控制列表 rule 100 deny tcp destination port eq www 設定規則關掉80埠 rule 110 deny ip sour...