H3C交換機典型訪問控制列表（ACL）配置實例	2010-02-02 22:41:18
?
?
一????? 組網需求： 1．通過配置基本訪問控制列表，實現在每天8:00～18:00時間段內對源IP為10.1.1.2主機發出報文的過濾； 2．要求配置高級訪問控制列表，禁止研發部門與技術支援部門之間互訪，并限制研發部門在上班時間8:00至18:00訪問工資查詢服務器； 3．通過二層訪問控制列表，實現在每天8:00～18:00時間段內對源MAC為00e0-fc01-0101的報文進行過濾。 二????? 組網圖： 三????? 配置步驟： 1????????? H3C 3600 5600? 5100系列交換機典型訪問控制列表配置 共用配置 1．根據組網圖，創建四個vlan，對應加入各個端口 <H3C>system-view [H3C]vlan 10??????????????????????????????????????????????????????????????? [H3C-vlan10]port GigabitEthernet 1/0/1????????????????????????????????????? [H3C-vlan10]vlan 20?????????????????? ?????????????????????????????????????? [H3C-vlan20]port GigabitEthernet 1/0/2??????????????????????????????????????????????????????? ???????????? [H3C-vlan20]vlan 30???????????????????????????????????????????????????????? [H3C-vlan30]port GigabitEthernet 1/0/3????????????????????????????????????? [H3C-vlan30]vlan 40???????????????????????????????????????????????????????? [H3C-vlan40]port GigabitEthernet 1/0/4??? [H3C-vlan40]quit 2．配置各VLAN虛接口地址 [H3C]interface vlan 10????????????????????????????????????????????????????? [H3C-Vlan-interface10]ip address 10.1.1.1 24??????????????????????????????? [H3C-Vlan-interface10]quit [H3C]interface vlan 20????????????????????????????????????????????????????? [H3C-Vlan-interface20]ip address 10.1.2.1 24??????????????????????????????? [H3C-Vlan-interface20]quit [H3C]interface vlan 30????????????????????????????????????????????????????? [H3C-Vlan-interface30]ip address 10.1.3.1 24??????????????????????????????? [H3C-Vlan-interface30]quit [H3C]interface vlan 40????????????????????????????????????????????????????? [H3C-Vlan-interface40]ip address 10.1.4.1 24??????????????????????????????? [H3C-Vlan-interface40]quit 3．定義時間段 [H3C] time-range huawei 8:00 to 18:00 working-day 需求1配置（基本ACL配置） 1．進入2000號的基本訪問控制列表視圖 [H3C-GigabitEthernet1/0/1] acl number 2000 2．定義訪問規則過濾10.1.1.2主機發出的報文 [H3C-acl-basic-2000] rule 1 deny source 10.1.1.2 0 time-range Huawei 3．在接口上應用2000號ACL [H3C-acl-basic-2000] interface GigabitEthernet1/0/1 [H3C-GigabitEthernet1/0/1] packet-filter inbound ip-group 2000 [H3C-GigabitEthernet1/0/1] quit 需求2配置（高級ACL配置） 1．進入3000號的高級訪問控制列表視圖 [H3C] acl number 3000 2．定義訪問規則禁止研發部門與技術支援部門之間互訪 [H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 3．定義訪問規則禁止研發部門在上班時間8:00至18:00訪問工資查詢服務器 [H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range Huawei [H3C-acl-adv-3000] quit 4．在接口上用3000號ACL [H3C-acl-adv-3000] interface GigabitEthernet1/0/2 [H3C-GigabitEthernet1/0/2] packet-filter inbound ip-group 3000 需求3配置（二層ACL配置） 1．進入4000號的二層訪問控制列表視圖 [H3C] acl number 4000 2．定義訪問規則過濾源MAC為00e0-fc01-0101的報文 [H3C-acl-ethernetframe-4000] rule 1 deny source 00e0-fc01-0101 ffff-ffff-ffff time-range Huawei 3．在接口上應用4000號ACL [H3C-acl-ethernetframe-4000] interface GigabitEthernet1/0/4 [H3C-GigabitEthernet1/0/4] packet-filter inbound link-group 4000 2????????? H3C 5500-SI 3610 5510系列交換機典型訪問控制列表配置 需求2配置 1．進入3000號的高級訪問控制列表視圖 [H3C] acl number 3000 2．定義訪問規則禁止研發部門與技術支援部門之間互訪 [H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 3．定義訪問規則禁止研發部門在上班時間8:00至18:00訪問工資查詢服務器 [H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range Huawei [H3C-acl-adv-3000] quit 4．定義流分類 [H3C] traffic classifier abc [H3C-classifier-abc]if-match acl 3000 [H3C-classifier-abc]quit 5．定義流行為，確定禁止符合流分類的報文 [H3C] traffic behavior abc [H3C-behavior-abc] filter deny [H3C-behavior-abc] quit 6．定義Qos策略，將流分類和流行為進行關聯 [H3C]qos policy abc [H3C-qospolicy-abc] classifier abc behavior abc [H3C-qospolicy-abc] quit 7．在端口下發Qos policy [H3C] interface g1/1/2 [H3C-GigabitEthernet1/1/2] qos apply policy abc inbound 8．補充說明： l??????? acl只是用來區分數據流，permit與deny由filter確定； l??????? 如果一個端口同時有permit和deny的數據流，需要分別定義流分類和流行為，并在同一QoS策略中進行關聯； l??????? QoS策略會按照配置順序將報文和classifier相匹配，當報文和某一個classifier匹配后，執行該classifier所對應的behavior，然后策略執行就結束了，不會再匹配剩下的classifier； l??????? 將QoS策略應用到端口后，系統不允許對應修改義流分類、流行為以及QoS策略，直至取消下發。 四????? 配置關鍵點： 1．time-name 可以自由定義； 2．設置訪問控制規則以后，一定要把規則應用到相應接口上，應用時注意inbound方向應與rule中source和destination對應； 3．S5600系列交換機只支持inbound方向的規則，所以要注意應用接口的選擇；

轉載于:https://blog.51cto.com/149banzhang/589456

總結

以上是生活随笔為你收集整理的H3C交换机典型访问控制列表（ACL）配置实例的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。