收藏
下载资源

H3C交换机典型(ACL)访问控制列表配置实例

上传人:左****笑 文档编号:145420627 上传时间:2020-09-20 格式:DOC 页数:5 大小:36.17KB
返回 下载 相关 举报
H3C交换机典型(ACL)访问控制列表配置实例_第1页
第1页 / 共5页
H3C交换机典型(ACL)访问控制列表配置实例_第2页
第2页 / 共5页
H3C交换机典型(ACL)访问控制列表配置实例_第3页
第3页 / 共5页
H3C交换机典型(ACL)访问控制列表配置实例_第4页
第4页 / 共5页
H3C交换机典型(ACL)访问控制列表配置实例_第5页
第5页 / 共5页
亲,该文档总共5页,全部预览完了,如果喜欢就下载吧!
资源描述

《H3C交换机典型(ACL)访问控制列表配置实例》由会员分享,可在线阅读,更多相关《H3C交换机典型(ACL)访问控制列表配置实例(5页珍藏版)》请在金锄头文库上搜索。

1、H3C交换机典型(ACL)访问控制列表配置实例一、组网需求: 1通过配置基本访问控制列表,实现在每天8:0018:00时间段内对源IP为10.1.1.2主机发出报文的过滤; 2要求配置高级访问控制列表,禁止研发部门与技术支援部门之间互访,并限制研发部门在上班时间8:00至18:00访问工资查询服务器; 3通过二层访问控制列表,实现在每天8:0018:00时间段内对源MAC为00e0-fc01-0101的报文进行过滤。 二、组网图: 三、配置步骤: H3C 3600 5600 5100系列交换机典型访问控制列表配置 共用配置 1根据组网图,创建四个vlan,对应加入各个端口 system-vi

2、ew H3Cvlan 10 H3C-vlan10port GigabitEthernet 1/0/1 H3C-vlan10vlan 20 H3C-vlan20port GigabitEthernet 1/0/2 H3C-vlan20vlan 30 H3C-vlan30port GigabitEthernet 1/0/3 H3C-vlan30vlan 40 H3C-vlan40port GigabitEthernet 1/0/4 H3C-vlan40quit 2配置各VLAN虚接口地址 H3Cinterface vlan 10 H3C-Vlan-interface10ip address 10.

3、1.1.1 24 H3C-Vlan-interface10quit H3Cinterface vlan 20 H3C-Vlan-interface20ip address 10.1.2.1 24 H3C-Vlan-interface20quit H3Cinterface vlan 30 H3C-Vlan-interface30ip address 10.1.3.1 24 H3C-Vlan-interface30quit H3Cinterface vlan 40 H3C-Vlan-interface40ip address 10.1.4.1 24 H3C-Vlan-interface40quit

4、 3定义时间段 H3C time-range huawei 8:00 to 18:00 working-day 需求1配置(基本ACL配置) 1进入2000号的基本访问控制列表视图 H3C-GigabitEthernet1/0/1 acl number 2000 2定义访问规则过滤10.1.1.2主机发出的报文 H3C-acl-basic-2000 rule 1 deny source 10.1.1.2 0 time-range Huawei 3在接口上应用2000号ACL H3C-acl-basic-2000 interface GigabitEthernet1/0/1 H3C-Gigabi

5、tEthernet1/0/1 packet-filter inbound ip-group 2000 H3C-GigabitEthernet1/0/1 quit 需求2配置(高级ACL配置) 1进入3000号的高级访问控制列表视图 H3C acl number 3000 2定义访问规则禁止研发部门与技术支援部门之间互访 H3C-acl-adv-3000rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 3定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器 H3C-acl-adv-3

6、000 rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range Huawei H3C-acl-adv-3000 quit 4在接口上用3000号ACL H3C-acl-adv-3000 interface GigabitEthernet1/0/2 H3C-GigabitEthernet1/0/2 packet-filter inbound ip-group 3000 需求3配置(二层ACL配置) 1进入4000号的二层访问控制列表视图 H3C acl number 4000 2定义访问规则过滤源MAC为00e0-

7、fc01-0101的报文 H3C-acl-ethernetframe-4000 rule 1 deny source 00e0-fc01-0101 ffff-ffff-ffff time-range Huawei 3在接口上应用4000号ACL H3C-acl-ethernetframe-4000 interface GigabitEthernet1/0/4 H3C-GigabitEthernet1/0/4 packet-filter inbound link-group 4000 2 H3C 5500-SI 3610 5510系列交换机典型访问控制列表配置 需求2配置 1进入3000号的高级

8、访问控制列表视图 H3C acl number 3000 2定义访问规则禁止研发部门与技术支援部门之间互访 H3C-acl-adv-3000rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 3定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器 H3C-acl-adv-3000 rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range Huawei H3C-acl-adv-3000 quit 4定义流分

9、类 H3C traffic classifier abc H3C-classifier-abcif-match acl 3000 H3C-classifier-abcquit 5定义流行为,确定禁止符合流分类的报文 H3C traffic behavior abc H3C-behavior-abc filter deny H3C-behavior-abc quit 6定义Qos策略,将流分类和流行为进行关联 H3Cqos policy abc H3C-qospolicy-abc classifier abc behavior abc H3C-qospolicy-abc quit 7在端口下发Q

10、os policy H3C interface g1/1/2 H3C-GigabitEthernet1/1/2 qos apply policy abc inbound 8补充说明: l acl只是用来区分数据流,permit与deny由filter确定; l 如果一个端口同时有permit和deny的数据流,需要分别定义流分类和流行为,并在同一QoS策略中进行关联; l QoS策略会按照配置顺序将报文和classifier相匹配,当报文和某一个classifier匹配后,执行该classifier所对应的behavior,然后策略执行就结束了,不会再匹配剩下的classifier; l 将QoS策略应用到端口后,系统不允许对应修改义流分类、流行为以及QoS策略,直至取消下发。 四、配置关键点: 1time-name 可以自由定义; 2设置访问控制规则以后,一定要把规则应用到相应接口上,应用时注意inbound方向应与rule中source和destination对应; 3S5600系列交换机只支持inbound方向的规则,所以要注意应用接口的选择;

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 总结/报告

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号