《H3C交换机典型访问控制列表(ACL)配置实例》由会员分享,可在线阅读,更多相关《H3C交换机典型访问控制列表(ACL)配置实例(3页珍藏版)》请在金锄头文库上搜索。
1、一组网需求:1通过配置基本访问控制列表,实现在每天8:0018:00时间段内对源IP为10.1.1.2主机发出报文的过滤;2要求配置高级访问控制列表,禁止研发部门与技术支援部门之间互访,并限制研发部门在上班时间8:00至18:00访问工资查询服务器;3.通过二层访问控制列表,实现在每天8:0018:00时间段内对源MAC为00e0-fc01-0101的报文进行过滤。二组网图:1H3C360056005100系列交换机典型访问控制列表配置共用配置1. 根据组网图,创建四个vian,对应加入各个端口system-viewH3Cvian10H3C-vian10portGigabitEthernet1
2、/0/1H3C-vian10vian20H3C-vian20portGigabitEthernet1/0/2H3C-vian20vian20H3C-vian20portGigabitEthernet1/0/3H3C-vian20vian30H3C-vian30portGigabitEthernet1/0/3H3C-vian30vian40H3C-vian40portGigabitEthernet1/0/4H3C-vian40quit2 .配置各VLAN虚接口地址H3Cinterfacevlan10H3C-Vlan-interface10ipaddress10.1.1.124H3C-Vlan-i
3、nterface10quitH3Cinterfacevlan20H3C-Vlan-interface20ipaddress10.1.2.124H3C-Vlan-interface20quitH3Cinterfacevlan30H3C-Vlan-interface30ipaddress10.1.3.124H3C-Vlan-interface30quitH3Cinterfacevlan40H3C-Vlan-interface40ipaddress10.1.4.124H3C-Vlan-interface40quit3.定义时间段H3Ctime-rangehuawei8:00to18:00workin
4、g-day需求1配置(基本ACL配置)1. 进入2000号的基本访问控制列表视图H3C-GigabitEthernet1/0/1aclnumber20002. 定义访问规则过滤10.1.1.2主机发出的报文H3C-acl-basic-2000rule1denysource10.1.1.20time-rangeHuawei3 .在接口上应用2000号ACLH3C-acl-basic-2000interfaceGigabitEthernet1/0/1H3C-GigabitEthernet1/0/1packet-filterinboundip-group2000H3C-GigabitEthernet
5、1/0/1quit需求2配置(高级ACL配置)1. 进入3000号的高级访问控制列表视图H3Caclnumber30002. 定义访问规则禁止研发部门与技术支援部门之间互访H3C-acl-adv-3000rule1denyipsource10.1.2.00.0.0.255destination10.1.1.00.0.0.2553. 定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器H3C-acl-adv-3000rule2denyipsourceanydestination129.110.1.20.0.0.0time-rangeHuaweiH3C-acl-adv-3000
6、quit4.在接口上用3000号ACLH3C-acl-adv-3000interfaceGigabitEthernet1/0/2H3C-GigabitEthernet1/0/2packet-filterinboundip-group3000需求3配置(二层ACL配置)1.进入4000号的二层访问控制列表视图H3Caclnumber40002. 定义访问规则过滤源MAC为OOeO-fcO1-O1O1的报文H3C-acl-ethernetframe-4000rule1denysource00e0-fc01-0101ffff-ffff-fffftime-rangeHuawei3. 在接口上应用400
7、0号ACLH3C-acl-ethernetframe-4OOOinterfaceGigabitEthernet1/O/4H3C-GigabitEthernet1/0/4packet-filterinboundlink-group40002H3C5500-SI36105510系列交换机典型访问控制列表配置需求2配置1进入3000号的高级访问控制列表视图H3Caclnumber30002定义访问规则禁止研发部门与技术支援部门之间互访H3C-acl-adv-3000rule1denyipsource10.1.2.00.0.0.255destination10.1.1.00.0.0.2553定义访问规
8、则禁止研发部门在上班时间8:00至18:00访问工资查询服务器H3C-acl-adv-3000rule2denyipsourceanydestination129.110.1.20.0.0.0time-rangeHuaweiH3C-acl-adv-3000quit4定义流分类H3CtrafficclassifierabcH3C-classifier-abcif-matchacl3000H3C-classifier-abcquit5定义流行为,确定禁止符合流分类的报文H3CtrafficbehaviorabcH3C-behavior-abcfilterdenyH3C-behavior-abcqu
9、it6. 定义Qos策略,将流分类和流行为进行关联H3CqospolicyabcH3C-qospolicy-abcclassifierabcbehaviorabcH3C-qospolicy-abcquit7. 在端口下发QospolicyH3Cinterfaceg1/1/2H3C-GigabitEthernet1/1/2qosapplypolicyabcinbound8. 补充说明: acl只是用来区分数据流,permit与deny由filter确定;如果一个端口同时有permit和deny的数据流,需要分别定义流分类和流行为,并在同一QoS策略中进行关联; QoS策略会按照配置顺序将报文和classifier相匹配,当报文和某一个classifier匹配后,执行该classifier所对应的behavior,然后策略执行就结束了,不会再匹配剩下的classifier;将QoS策略应用到端口后,系统不允许对应修改义流分类、流行为以及QoS策略,直至取消下发。四配置关键点:1. time-name可以自由定义;2. 设置访问控制规则以后,一定要把规则应用到相应接口上,应用时注意inbound方向应与rule中source和destination对应;3. S5600系列交换机只支持inbound方向的规则,所以要注意应用接口的选择;
