《H3C交换机典型(ACL)访问控制列表配置实例》由会员分享,可在线阅读,更多相关《H3C交换机典型(ACL)访问控制列表配置实例(5页珍藏版)》请在金锄头文库上搜索。
1、H3C交换机典型(ACL)访问控制列表配实例技术支摆部门硏发部门工资查询服各器管理部门G-170/1VLA1I1(10.1.2.0/2410.1.3.0/24GW4VLM40G-1/O/3VLWT3010.1.1.0J2410.1.4.2a0e0-fc01-03a3二、组网图:三、配置步骤:H3C360056005100系列交换机典型访问控制列表配置共用配置一、组网需求:1.通过配置基本访问控制列表,实现在每天8:0018:00时间段内对源IP为10.1.1.2主机发出报文的过滤;2.要求配置高级访问控制列表,禁止研发部门与技术支援部门之间互访,并限制研发部门在上班时间8:00至18:00访问
2、工资查询服务器;3.通过二层访问控制列表,实现在每天8:0018:00时间段内对源MAC为00e0-fc01-0101的报文进行过滤。$1旳住VUJT2:0脚本之家.JW.jeSl.NET1. 根据组网图,创建四个vian,对应加入各个端口system-viewH3Cvian10H3C-vian10portGigabitEthernet1/0/1H3C-vian10vian20H3C-vian20portGigabitEthernet1/0/2H3C-vian20vian30H3C-vian30portGigabitEthernet1/0/3H3C-vian30vian40H3C-vian40
3、portGigabitEthernet1/0/4H3C-vian40quit2. 配置各VLAN虚接口地址H3Cinterfacevian10H3C-Vian-interface10ipaddress10.1.1.124H3C-Vian-interface10quitH3Cinterfacevian20H3C-Vian-interface20ipaddress10.1.2.124H3C-Vian-interface20quitH3Cinterfacevian30H3C-Vian-interface30ipaddress10.1.3.124H3C-Vian-interface30quitH3Ci
4、nterfacevian40H3C-Vian-interface40ipaddress10.1.4.124H3C-Vian-interface40quit3. 定义时间段H3Ctime-rangehuawei8:00to18:00working-day需求1配置(基本ACL配置)1进入2000号的基本访问控制列表视图H3C-GigabitEthernet1/0/1aclnumber20002定义访问规则过滤10.1.1.2主机发出的报文H3C-acl-basic-2000rule1denysource10.1.1.20time-rangeHuawei3在接口上应用2000号ACLH3C-acl
5、-basic-2000interfaceGigabitEthernet1/0/1H3C-GigabitEthernet1/0/1packet-filterinboundip-group2000H3C-GigabitEthernet1/0/1quit需求2配置(高级ACL配置)1进入3000号的高级访问控制列表视图H3Caclnumber30002定义访问规则禁止研发部门与技术支援部门之间互访H3C-acl-adv-3000rule1denyipsource10.1.2.00.0.0.255destination10.1.1.00.0.0.2553定义访问规则禁止研发部门在上班时间8:00至18
6、:00访问工资查询服务器H3C-acl-adv-3000rule2denyipsourceanydestination129.110.1.20.0.0.0time-rangeHuaweiH3C-acl-adv-3000quit4在接口上用3000号ACLH3C-acl-adv-3000interfaceGigabitEthernet1/0/2H3C-GigabitEthernet1/0/2packet-filterinboundip-group3000需求3配置(二层ACL配置)1进入4000号的二层访问控制列表视图H3Caclnumber40002.定义访问规则过滤源MAC为OOeO-fcO
7、1-O1O1的报文H3C-acl-ethernetframe-4000rule1denysource00e0-fc01-0101ffff-ffff-fffftime-rangeHuawei3.在接口上应用4OOO号ACLH3C-acl-ethernetframe-4OOOinterfaceGigabitEthernet1/O/4H3C-GigabitEthernet1/O/4packet-filterinboundlink-group4OOO2H3C55OO-SI361O5510系列交换机典型访问控制列表配置需求2配置1. 进入3OOO号的高级访问控制列表视图H3Caclnumber3OOO2
8、. 定义访问规则禁止研发部门与技术支援部门之间互访H3C-acl-adv-3OOOrule1denyipsource1O.1.2.OO.O.O.255destination1O.1.1.OO.O.O.2553. 定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器H3C-acl-adv-3OOOrule2denyipsourceanydestination129.11O.1.2O.O.O.Otime-rangeHuaweiH3C-acl-adv-3OOOquit4. 定义流分类H3CtrafficclassifierabcH3C-classifier-abcif-match
9、acl3OOOH3C-classifier-abcquit5. 定义流行为,确定禁止符合流分类的报文H3CtrafficbehaviorabcH3C-behavior-abcfilterdenyH3C-behavior-abcquit6. 定义Qos策略,将流分类和流行为进行关联H3CqospolicyabcH3C-qospolicy-abcclassifierabcbehaviorabcH3C-qospolicy-abcquit7在端口下发QospolicyH3Cinterfaceg1/1/2H3C-GigabitEthernet1/1/2qosapplypolicyabcinbound8补
10、充说明:lacl只是用来区分数据流,permit与deny由filter确定;l如果一个端口同时有permit和deny的数据流,需要分别定义流分类和流行为,并在同一QoS策略中进行关联;lQoS策略会按照配置顺序将报文和classifier相匹配,当报文和某一个classifier匹配后,执行该classifier所对应的behavior,然后策略执行就结束了,不会再匹配剩下的classifier;l将QoS策略应用到端口后,系统不允许对应修改义流分类、流行为以及QoS策略,直至取消下发。四、配置关键点:1time-name可以自由定义;2.设置访问控制规则以后,一定要把规则应用到相应接口上,应用时注意inbound方向应与rule中source和destination对应;3.S5600系列交换机只支持inbound方向的规则,所以要注意应用接口的选择;
