H3C交換機典型（ACL）訪問控制列表配置實例

2020-10-24 11:27:41

字體：大中小

來源：轉載

供稿：網友

一、組網需求：
1．通過配置基本訪問控制列表，實現在每天8:00～18:00時間段內對源IP為10.1.1.2主機發出報文的過濾； www.49028c.com
2．要求配置高級訪問控制列表，禁止研發部門與技術支援部門之間互訪，并限制研發部門在上班時間8:00至18:00訪問工資查詢服務器；
3．通過二層訪問控制列表，實現在每天8:00～18:00時間段內對源MAC為00e0-fc01-0101的報文進行過濾。

二、組網圖：

三、配置步驟：
H3C 3600 5600 5100系列交換機典型訪問控制列表配置
共用配置
1．根據組網圖，創建四個vlan，對應加入各個端口
<H3C>system-view
[H3C]vlan 10
[H3C-vlan10]port GigabitEthernet 1/0/1
[H3C-vlan10]vlan 20
[H3C-vlan20]port GigabitEthernet 1/0/2
[H3C-vlan20]vlan 30
[H3C-vlan30]port GigabitEthernet 1/0/3
[H3C-vlan30]vlan 40
[H3C-vlan40]port GigabitEthernet 1/0/4
[H3C-vlan40]quit
2．配置各VLAN虛接口地址
[H3C]interface vlan 10
[H3C-Vlan-interface10]ip address 10.1.1.1 24
[H3C-Vlan-interface10]quit
[H3C]interface vlan 20
[H3C-Vlan-interface20]ip address 10.1.2.1 24
[H3C-Vlan-interface20]quit
[H3C]interface vlan 30
[H3C-Vlan-interface30]ip address 10.1.3.1 24
[H3C-Vlan-interface30]quit
[H3C]interface vlan 40
[H3C-Vlan-interface40]ip address 10.1.4.1 24
[H3C-Vlan-interface40]quit
3．定義時間段
[H3C] time-range huawei 8:00 to 18:00 working-day
需求1配置（基本ACL配置）
1．進入2000號的基本訪問控制列表視圖
[H3C-GigabitEthernet1/0/1] acl number 2000
2．定義訪問規則過濾10.1.1.2主機發出的報文
[H3C-acl-basic-2000] rule 1 deny source 10.1.1.2 0 time-range Huawei
3．在接口上應用2000號ACL
[H3C-acl-basic-2000] interface GigabitEthernet1/0/1
[H3C-GigabitEthernet1/0/1] packet-filter inbound ip-group 2000
[H3C-GigabitEthernet1/0/1] quit
需求2配置（高級ACL配置）
1．進入3000號的高級訪問控制列表視圖
[H3C] acl number 3000
2．定義訪問規則禁止研發部門與技術支援部門之間互訪
[H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
3．定義訪問規則禁止研發部門在上班時間8:00至18:00訪問工資查詢服務器
[H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range Huawei
[H3C-acl-adv-3000] quit
4．在接口上用3000號ACL
[H3C-acl-adv-3000] interface GigabitEthernet1/0/2
[H3C-GigabitEthernet1/0/2] packet-filter inbound ip-group 3000
需求3配置（二層ACL配置）
1．進入4000號的二層訪問控制列表視圖
[H3C] acl number 4000
2．定義訪問規則過濾源MAC為00e0-fc01-0101的報文
[H3C-acl-ethernetframe-4000] rule 1 deny source 00e0-fc01-0101 ffff-ffff-ffff time-range Huawei
3．在接口上應用4000號ACL
[H3C-acl-ethernetframe-4000] interface GigabitEthernet1/0/4
[H3C-GigabitEthernet1/0/4] packet-filter inbound link-group 4000
2 H3C 5500-SI 3610 5510系列交換機典型訪問控制列表配置
需求2配置
1．進入3000號的高級訪問控制列表視圖
[H3C] acl number 3000
2．定義訪問規則禁止研發部門與技術支援部門之間互訪
[H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
3．定義訪問規則禁止研發部門在上班時間8:00至18:00訪問工資查詢服務器
[H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range Huawei
[H3C-acl-adv-3000] quit
4．定義流分類
[H3C] traffic classifier abc
[H3C-classifier-abc]if-match acl 3000
[H3C-classifier-abc]quit
5．定義流行為，確定禁止符合流分類的報文
[H3C] traffic behavior abc
[H3C-behavior-abc] filter deny
[H3C-behavior-abc] quit
6．定義Qos策略，將流分類和流行為進行關聯
[H3C]qos policy abc
[H3C-qospolicy-abc] classifier abc behavior abc
[H3C-qospolicy-abc] quit
7．在端口下發Qos policy
[H3C] interface g1/1/2
[H3C-GigabitEthernet1/1/2] qos apply policy abc inbound
8．補充說明：
l acl只是用來區分數據流，permit與deny由filter確定；
l 如果一個端口同時有permit和deny的數據流，需要分別定義流分類和流行為，并在同一QoS策略中進行關聯；
l QoS策略會按照配置順序將報文和classifier相匹配，當報文和某一個classifier匹配后，執行該classifier所對應的behavior，然后策略執行就結束了，不會再匹配剩下的classifier；
l 將QoS策略應用到端口后，系統不允許對應修改義流分類、流行為以及QoS策略，直至取消下發。

四、配置關鍵點：
1．time-name 可以自由定義；
2．設置訪問控制規則以后，一定要把規則應用到相應接口上，應用時注意inbound方向應與rule中source和destination對應；
3．S5600系列交換機只支持inbound方向的規則，所以要注意應用接口的選擇；

上一篇：H3C交換機基于MAC地址VLAN配置教程

下一篇：交換機怎么設置實現三層交換功能案例詳解