精心整理
H3C交换机典型(ACL)访问控制列表配置实例
一、组网需求:
2.要求配置高级访问控制列表,禁止研发部门与技术支援部门之间互访,并限制研发部门在上班时间8:00至18:00访问工资查询服务器;
3.通过二层访问控制列表,实现在每天8:00~18:00时间段内对源MAC为00e0-fc01-0101的报文进行过滤。 二、组网图: 三、配置步骤:
H3C360056005100系列交换机典型访问控制列表配置 共用配置
1.根据组网图,创建四个vlan,对应加入各个端口
精心整理
[H3C-vlan10]portGigabitEthernet1/0/1 [H3C-vlan10]vlan20
[H3C-vlan20]portGigabitEthernet1/0/2 [H3C-vlan20]vlan30
[H3C-vlan30]portGigabitEthernet1/0/3 [H3C-vlan30]vlan40
[H3C-vlan40]portGigabitEthernet1/0/4 [H3C-vlan40]quit 2.配置各VLAN虚接口地址 [H3C]interfacevlan10 [H3C-Vlan-interface10]ipaddress24 [H3C-Vlan-interface10]quit [H3C]interfacevlan20 [H3C-Vlan-interface20]ipaddress24 [H3C-Vlan-interface20]quit [H3C]interfacevlan30 [H3C-Vlan-interface30]ipaddress24 [H3C-Vlan-interface30]quit [H3C]interfacevlan40 [H3C-Vlan-interface40]ipaddress24 [H3C-Vlan-interface40]quit 3.定义时间段
[H3C]time-rangehuawei8:00to18:00working-day 需求1配置(基本ACL配置)
1.进入2000号的基本访问控制列表视图 [H3C-GigabitEthernet1/0/1]aclnumber2000
精心整理
[H3C-acl-basic-2000]rule1denysource0time-rangeHuawei 3.在接口上应用2000号ACL
[H3C-acl-basic-2000]interfaceGigabitEthernet1/0/1
[H3C-GigabitEthernet1/0/1]packet-filterinboundip-group2000 [H3C-GigabitEthernet1/0/1]quit 需求2配置(高级ACL配置)
1.进入3000号的高级访问控制列表视图 [H3C]aclnumber3000 2.定义访问规则禁止研发部门与技术支援部门之间互访 [H3C-acl-adv-3000]rule1denyipsourcedestination 3.定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器 [H3C-acl-adv-3000]rule2denyipsourceanydestinationtime-rangeHuawei [H3C-acl-adv-3000]quit 4.在接口上用3000号ACL [H3C-acl-adv-3000]interfaceGigabitEthernet1/0/2 [H3C-GigabitEthernet1/0/2]packet-filterinboundip-group3000 需求3配置(二层ACL配置) 1.进入4000号的二层访问控制列表视图 [H3C]aclnumber4000 2.定义访问规则过滤源MAC为00e0-fc01-0101的报文 [H3C-acl-ethernetframe-4000]rule1denysource00e0-fc01-0101ffff-ffff-fffftime-rangeHuawei 3.在接口上应用4000号ACL
[H3C-acl-ethernetframe-4000]interfaceGigabitEthernet1/0/4 [H3C-GigabitEthernet1/0/4]packet-filterinboundlink-group4000 2H3C5500-SI36105510系列交换机典型访问控制列表配置 需求2配置
精心整理
1.进入3000号的高级访问控制列表视图 [H3C]aclnumber3000
2.定义访问规则禁止研发部门与技术支援部门之间互访 [H3C-acl-adv-3000]rule1denyipsourcedestination
3.定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器 [H3C-acl-adv-3000]rule2denyipsourceanydestinationtime-rangeHuawei [H3C-acl-adv-3000]quit 4.定义流分类 [H3C]trafficclassifierabc [H3C-classifier-abc]if-matchacl3000 [H3C-classifier-abc]quit 5.定义流行为,确定禁止符合流分类的报文 [H3C]trafficbehaviorabc [H3C-behavior-abc]filterdeny [H3C-behavior-abc]quit 6.定义Qos策略,将流分类和流行为进行关联 [H3C]qospolicyabc [H3C-qospolicy-abc]classifierabcbehaviorabc [H3C-qospolicy-abc]quit 7.在端口下发Qospolicy [H3C]interfaceg1/1/2
[H3C-GigabitEthernet1/1/2]qosapplypolicyabcinbound 8.补充说明:
lacl只是用来区分数据流,permit与deny由filter确定;
l如果一个端口同时有permit和deny的数据流,需要分别定义流分类和流行为,并在同一QoS策略中进行关联;
精心整理
lQoS策略会按照配置顺序将报文和classifier相匹配,当报文和某一个classifier匹配后,执行该classifier所对应的behavior,然后策略执行就结束了,不会再匹配剩下的classifier;
l将QoS策略应用到端口后,系统不允许对应修改义流分类、流行为以及QoS策略,直至取消下发。
四、配置关键点:
1.time-name可以自由定义;
2.设置访问控制规则以后,一定要把规则应用到相应接口上,应用时注意inbound方向应与rule中source和destination对应; 3.S5600系列交换机只支持inbound方向的规则,所以要注意应用接口的选择;
H3C交换机典型(ACL)访问控制列表配置实例
