H3C交换机典型(ACL)访问控制列表配置实例

1、H3C交换机典型（ACL）访问控制列表配置实例一、组网需求：1 .通过配置基本访问控制列表，实现在每天8:0018:00时间段内对源IP为主机发出报文的过滤； www.jb51. net2. 要求配置高级访问控制列表，禁止研发部门与技术支援部门之间互访，并限制研发部门在上班时间8:00至18:00访问工资查询服务器；3 .通过二层访问控制列表，实现在每天8:0018:00时间段内对源 MAC为00e0-fc01-0101的报文进行过滤。二、组网图：三、配置步骤：H3C 3600 5600 5100系列交换机典型访问控制列表配置共用配置1根据组网图，创建四个 vlan ，对应加入

2、各个端口<H3C>system-viewH3Cvlan 10H3C-vlan10portGigabitEthernet 1/0/1H3C-vlan10vlan 20H3C-vlan20portGigabitEthernet 1/0/2H3C-vlan20vlan 30H3C-vlan30portGigabitEthernet 1/0/3H3C-vlan30vlan 40H3C-vlan40portGigabitEthernet 1/0/4H3C-vlan40quit2 配置各 VLAN 虚接口地址H3Cinterface vlan 10H3C-Vlan-interface10ip

3、address H3C-Vlan-interface10quitH3Cinterface vlan 20H3C-Vlan-interface20ip address H3C-Vlan-interface20quitH3Cinterface vlan 302424H3C-Vlan-interface30ipaddress 24H3C-Vlan-interface30quitH3Cinterface vlan 4024H3C-Vlan-interface40ip address H3C-Vlan-interface40quit 3定

4、义时间段H3C time-range huawei 8:00 to 18:00 working-day需求 1 配置（基本 ACL 配置）1 进入 2000 号的基本访问控制列表视图 H3C-GigabitEthernet1/0/1 acl number 20002 定义访问规则过滤 主机发出的报文H3C-acl-basic-2000 rule 1 deny source 0 time-range Huawei3 在接口上应用 2000 号 ACLH3C-acl-basic-2000 interface GigabitEthernet1/0/1H3C-Gig

5、abitEthernet1/0/1 packet-filter inbound ip-group 2000 H3C-GigabitEthernet1/0/1 quit需求 2 配置（高级 ACL 配置）1 进入 3000 号的高级访问控制列表视图H3C acl number 30002定义访问规则禁止研发部门与技术支援部门之间互访H3C-acl-adv-3000rule 1 deny ip source 55 destination 0. 0.0.2553 定义访问规则禁止研发部门在上班时间8:00 至 18:00 访问工资查询服务器H3C-a

6、cl-adv-3000 rule 2 deny ip source any destination time -range HuaweiH3C-acl-adv-3000 quit4 在接口上用 3000 号 ACLH3C-acl-adv-3000 interface GigabitEthernet1/0/2H3C-GigabitEthernet1/0/2 packet-filter inbound ip-group 3000需求 3 配置（二层 ACL 配置）1 进入 4000 号的二层访问控制列表视图H3C acl number 40002 .定义访问

7、规则过滤源MAC为OOeO-fcO1-O1O1 的报文H3C-acl-ethernetframe-4000 rule 1 deny source 00e0-fc01-0101 ffff-ffff-ffff time-r ange Huawei3 .在接口上应用 4000 号 ACLH3C-acl-ethernetframe-4000 interface GigabitEthernet1/0/4H3C-GigabitEthernet1/0/4 packet-filter inbound link-group 40002 H3C 5500-SI 3610 5510 系列交换机典型访问控制列表配置需

8、求 2 配置1 .进入 3000 号的高级访问控制列表视图H3C acl number 30002 .定义访问规则禁止研发部门与技术支援部门之间互访H3C-acl-adv-3000rule 1 deny ip source 55 destination 0. 0.0.2553. 定义访问规则禁止研发部门在上班时间 8:00 至 18:00 访问工资查询服务器 H3C-acl-adv-3000 rule 2 deny ip source any destination time-range HuaweiH3C

9、-acl-adv-3000 quit4 .定义流分类H3C traffic classifier abcH3C-classifier-abcif-match acl 3000H3C-classifier-abcquit5.定义流行为，确定禁止符合流分类的报文H3C traffic behavior abc H3C-behavior-abc filter denyH3C-behavior-abc quit 6 定义 Qos 策略，将流分类和流行为进行关联H3Cqos policy abcH3C-qospolicy-abc classifier abc behavior abcH3C-qospol

10、icy-abc quit7 在端口下发 Qos policyH3C interface g1/1/2H3C-GigabitEthernet1/1/2 qos apply policy abc inbound 8补充说明：l acl 只是用来区分数据流， permit 与 deny 由 filter 确定；l 如果一个端口同时有 permit 和 deny 的数据流， 需要分别定义流分类和流行为， 并在同 一 QoS 策略中进行关联；l QoS 策略会按照配置顺序将报文和 classifier 相匹配，当报文和某一个 classifier 匹配后， 执行该 classifier 所对应的 behavior ，然后策略执行就结束了，不会再匹配剩下的 classif ier；l 将 QoS 策略应用到端口后，系统不允许对应修改义流分类、流行为以及 QoS 策略