H3c 高级ACL配置案例

S3610_S5510系列交换机IPv4 ACL的配置

一      组网需求：

在端口Ethernet1/0/2配置IPv4报文过滤，允许源地址为1.0.0.0/8的报文通过，但是禁止源地址为1.1.1.1的报文通过。

二      组网图：

无

三      配置步骤：

1. 配置IPv4 ACL

# 进入系统视图

<Switch> system-view

# 配置源地址为1.1.1.1的访问规则

[Switch] acl number 3001

[Switch-acl6-adv-3001] rule deny ip source 1.1.1.1 0

# 配置其他源地址的访问规则

[Switch] acl number 3002

[Switch-acl6-adv-3002] rule permit ip source 1.0.0.0 0.255.255.255

2. 配置端口Ethernet1/0/1入方向的IPv4报文过滤

# 配置拒绝接收源地址为1.1.1.1报文的类和流行为

[Switch] traffic classifier 1

[Switch-classifier-1] if-match acl 3001

[Switch-classifier-1] quit

[Switch] traffic behavior 1

[Switch-behavior-1] filter deny

[Switch-behavior-1] quit

# 配置允许其他源地址的类和流行为

[Switch] traffic classifier 2

[Switch-classifier-2] if-match acl 3002

[Switch-classifier-2] quit

[Switch] traffic behavior 2

[Switch-behavior-2] filter permit

[Switch-behavior-2] quit

# 配置策略

[Switch] qos policy test

[Switch-qospolicy-test] classifier 1 behavior 1

[Switch-qospolicy-test] classifier 2 behavior 2

[Switch-qospolicy-test] quit

# 应用策略

[Switch] interface Ethernet 1/0/1

[Switch-Ethernet1/0/2] qos apply policy test inbound

四      配置关键点：

1.      ACL最终的匹配动作是permit还是deny，不由ACL中rule的动作决定，而是由此ACL所对应的behavior的动作决定的。

2.      对于既有permit又有deny要求的访问控制，必须规定两个behavior，一个为permit，一个为deny。

 普通 H3C 配置

(1)       定义时间段

#定义8:00至18:00的周期时间段。

<H3C> system-view

[H3C] time-range test8:00 to 18:00working-day

(2)       定义到工资服务器的ACL

#进入ACL 3000视图。

[H3C] acl number 3000

#定义研发部门到工资服务器的访问规则。

[H3C-acl-adv-3000] rule 1 deny ip destination 192.168.1.2 0 time-range test

[H3C-acl-adv-3000] quit

(3)       在端口上应用ACL

#在Ethernet 1/0/1端口上应用ACL 3000。

[H3C] interface Ethernet1/0/1

[H3C-Ethernet1/0/1] qos

[H3C-qoss-Ethernet1/0/1] packet-filter inbound ip-group 3000

(1)       定义时间段

#定义8:00至18:00的周期时间段。

<H3C> system-view

[H3C] time-range test8:00 to 18:00daily

(2)       定义源MAC为000f-e20f-0101目的MAC为000f-e20f-0303的ACL规则

#进入ACL 4000视图

[H3C] acl number 4000

#定义源MAC为000f-e20f-0101目的MAC为000f-e20f-0303的流分类规则。

[H3C-acl-ethernetframe-4000] rule 1 deny ingress 000f-e20f-0101 ffff-ffff-ffff egress 000f-e20f-0303 ffff-ffff-ffff time-range test

[H3C-acl-ethernetframe-4000] quit

(3)       在端口上应用ACL

#在Ethernet 1/0/1端口上应用ACL 4000。

[H3C] interface Ethernet 1/0/1

[H3C-Ethernet1/0/1]qos

[H3C-qoss-Ethernet1/0/1] packet-filter inbound link-group 4000

转载于:https://www.cnblogs.com/gergro/archive/2008/05/08/1188912.html