一、組網需求:
1.通過配置基本訪問控制列表,實現在每天8:00~18:00時間段內對源ip為10.1.1.2主機發出報文的過濾; www.jb51.net
2.要求配置高階訪問控制列表,禁止研發部門與技術支援部門之間互訪,並限制研發部門在上班時間8:00至18:00訪問工資查詢伺服器;
3.通過二層訪問控制列表,實現在每天8:00~18:00時間段內對源mac為00e0-fc01-0101的報文進行過濾。
二、組網圖:
三、配置步驟:
h3c 3600 5600 5100系列交換機典型訪問控制列表配置
共用配置
1.根據組網圖,建立四個vlan,對應加入各個埠
system-view
[h3c]vlan 10
[h3c-vlan10]port gigabitethernet 1/0/1
[h3c-vlan10]vlan 20
[h3c-vlan20]port gigabitethernet 1/0/2
[h3c-vlan20]vlan 30
[h3c-vlan30]port gigabitethernet 1/0/3
[h3c-vlan30]vlan 40
[h3c-vlan40]port gigabitethernet 1/0/4
[h3c-vlan40]quit
2.配置各vlan虛介面位址
[h3c]inte***ce vlan 10
[h3c-vlan-inte***ce10]ip address 10.1.1.1 24
[h3c-vlan-inte***ce10]quit
[h3c]inte***ce vlan 20
[h3c-vlan-inte***ce20]ip address 10.1.2.1 24
[h3c-vlan-inte***ce20]quit
[h3c]inte***ce vlan 30
[h3c-vlan-intepevjdas***ce30]ip address 10.1.3.1 24
[h3c-vlan-inte***ce30]quit
[h3c]inte***ce vlan 40
[h3c-vlan-inte***ce40]ip address 10.1.4.1 24
[h3c-vlan-inte***ce40]quit
3.定義時間段
[h3c] time-range huawei 8:00 to 18:00 working-day
需求1配置(基本acl配置)
1.進入2000號的基本訪問控制列表檢視
[h3c-gigabitethernet1/0/1] acl number 2000
2.定義訪問規則過濾10.1.1.2主機發出的報文
[h3c-acl-basic-2000] rule 1 deny source 10.1.1.2 0 time-range huawei
3.在介面上應用2000號acl
[h3c-acl-basic-2000] inte***ce gigabitethernet1/0/1
[h3c-gigabitethernet1/0/1] packet-filter inbound ip-group 2000
[h3c-gigabitethernet1/0/1] quit
需求2配置(高階acl配置)
1.進入3000號的高階訪問控制列表檢視
[h3c] acl number程式設計客棧 3000
2.定義訪問規則禁止研發部門與技術支援部門之間互訪
[h3c-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0pevjdas 0.0.0.255
3.定義訪問規則禁止研發部門在上班時間8:00至18:00訪問工資查詢伺服器
[h3c-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range huawei
[h3c-acl-adv-3000] quit
4.在介面上用3000號acl
[h3c-acl-adv-3000] inpevjdaste***ce gigabitethernet1/0/2
[h3c-gigabitethernet1/0/2] packet-filter inbound ip-group 3000
需求3配置(二層acl配置)
1.進入4000號的二層訪問控制列表檢視
[h3c] acl number 4000
2.定義訪問規則過濾源mac為00e0-fc01-0101的報文
[h3c-acl-ethernetframe-4000] rule 1 deny source 00e0-fc01-0101 ffff-ffff-ffff time-range huawei
3.在介面上應用4000號acl
[h3c-acl-ethernetframe-4000] inte***ce gigabitethernet1/0/4
[h3c-gigabitethernet1/0/4] packet-filter inbound link-group 4000
2 h3c 5500-si 3610 5510系列交換機典型訪問控制列表配置
需求2配置
1.進入3000號的高階訪問控制列表檢視
[h3c] acl number 3000
2.定義訪問規則禁止研發部門與技術支援部門之間互訪
[h3c-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
3.定義訪問規則禁止研發部門在上班時間8:00至18:00訪問工資查詢伺服器
[h3c-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range huawei
[h3c-acl-adv-3000] quit
4.定義流分類
[h3c] traffic classifier abc
[h3c-classifier-abc]if-match acl 3000
[h3c-classifier-abc]quit
5.定義流行為,確定禁止符合流分類的報文
[h3c] traffic beh**ior abc
[h3c-beh**ior-abc] filter deny
[h3c-beh**ior-abc] quit
6.定義qos策略,將流分類和流行為進行關聯
[h3c]qos policy abc
[h3c-qospolicy-abc] classifier abc beh**ior abc
[h3c-qospolicy-abc] quit
7.在埠下發qos policy
[h3c] inte***ce g1/1/2
[h3c-gigabitethernet1/1/2] qos apply policy abc inbound
8.補充說明:
l acl只是用來區分資料流,permit與deny由filter確定;
l 如果乙個埠同時有permit和deny的資料流,需要分別定義流分類和流行為,並在同一qos策略中進行關聯;
l qos策略會按照配置順序將報文和classifier相匹配,當報文和某乙個classifier匹配後,執行該classifier所對應的beh**ior,然後策略執行就結束了,不會再匹配剩下的classifier;
l 將qos策略應用到埠後,系統不允許對應修改義流分www.cppcns.com類、流行為以及qos策略,直至取消下發。
四、配置關鍵點:
1.time-name 可以自由定義;
2.設定訪問控制規則以後,一定要把規則應用到相應介面上,應用時注意inbound方向應與rule中source和destination對應;
3.s5600系列交換機只支援inbound方向的規則,所以要注意應用介面的選擇;
本文標題: h3c交換機典型(acl)訪問控制列表配置例項
本文位址:
H3C交換機典型(ACL)訪問控制列表配置例項
一 組網需求 1 通過配置基本訪問控制列表,實現在每天8 00 18 00時間段內對源ip為10.1.1.2主機發出報文的過濾 www.jb51.net 2 要求配置高階訪問控制列表,禁止研發部門與技術支援部門之間互訪,並限制研發部門在上班時間8 00至18 00訪問工資查詢伺服器 3 通過二層訪問...
H3C交換機單向訪問控制
交換機vlan10 172.16.1.254,vlan1 192.168.1.225 pc1 192.168.1.224 閘道器192.168.1.225 pc2 172.16.1.10 閘道器 172.16.1.254 192.168.1.224可以ping172.16.1.10,反過來拒絕 抓包...
h3c交換機限制埠訪問
h3c交換機設定限制公司員工訪問外網 使用的環境,把不能訪問80埠跟qq伺服器的使用者劃入vlan 50。acl number 3001設定訪問控制列表 rule 100 deny tcp destination port eq www 設定規則關掉80埠 rule 110 deny ip sour...