首頁 > 其他

H3c 進階ACL配置案例

來源:互聯網
上載者:User
創建阿里雲帳戶,並獲得超過 40 款產品的免費試用版;而企業帳戶則可以享有總值 $1200 的免費試用版。立即註冊!

 

S3610_S5510系列交換器IPv4 ACL的配置

一      組網需求:

在連接埠Ethernet1/0/2配置IPv4報文過濾,允許源地址為1.0.0.0/8的報文通過,但是禁止源地址為1.1.1.1的報文通過。

二      組網圖:

三      配置步驟:

1. 配置IPv4 ACL

# 進入系統檢視表

<Switch> system-view

# 配置源地址為1.1.1.1的訪問規則

[Switch] acl number 3001

[Switch-acl6-adv-3001] rule deny ip source 1.1.1.1 0

# 配置其他源地址的訪問規則

[Switch] acl number 3002

[Switch-acl6-adv-3002] rule permit ip source 1.0.0.0 0.255.255.255

2. 配置連接埠Ethernet1/0/1入方向的IPv4報文過濾

# 配置拒絕接收源地址為1.1.1.1報文的類和流行為

[Switch] traffic classifier 1

[Switch-classifier-1] if-match acl 3001

[Switch-classifier-1] quit

[Switch] traffic behavior 1

[Switch-behavior-1] filter deny

[Switch-behavior-1] quit

# 配置允許其他源地址的類和流行為

[Switch] traffic classifier 2

[Switch-classifier-2] if-match acl 3002

[Switch-classifier-2] quit

[Switch] traffic behavior 2

[Switch-behavior-2] filter permit

[Switch-behavior-2] quit

# 配置策略

[Switch] qos policy test

[Switch-qospolicy-test] classifier 1 behavior 1

[Switch-qospolicy-test] classifier 2 behavior 2

[Switch-qospolicy-test] quit

# 應用策略

[Switch] interface Ethernet 1/0/1

[Switch-Ethernet1/0/2] qos apply policy test inbound

四      配置關鍵點:

1.      ACL最終的匹配動作是permit還是deny,不由ACL中rule的動作決定,而是由此ACL所對應的behavior的動作決定的。

2.      對於既有permit又有deny要求的存取控制,必須規定兩個behavior,一個為permit,一個為deny。

 

 普通 H3C 配置

(1)       定義時間段

#定義8:00至18:00的周期時間段。

<H3C> system-view

[H3C] time-range test8:00 to 18:00working-day

(2)       定義到工資伺服器的ACL

#進入ACL 3000視圖。

[H3C] acl number 3000

#定義研發部門到工資伺服器的訪問規則。

[H3C-acl-adv-3000] rule 1 deny ip destination 192.168.1.2 0 time-range test

[H3C-acl-adv-3000] quit

(3)       在連接埠上應用ACL

#在Ethernet 1/0/1連接埠上應用ACL 3000。

[H3C] interface Ethernet1/0/1

[H3C-Ethernet1/0/1] qos

[H3C-qoss-Ethernet1/0/1] packet-filter inbound ip-group 3000

(1)       定義時間段

#定義8:00至18:00的周期時間段。

<H3C> system-view

[H3C] time-range test8:00 to 18:00daily

(2)       定義源MAC為000f-e20f-0101目的MAC為000f-e20f-0303的ACL規則

#進入ACL 4000視圖

[H3C] acl number 4000

#定義源MAC為000f-e20f-0101目的MAC為000f-e20f-0303的流分類規則。

[H3C-acl-ethernetframe-4000] rule 1 deny ingress 000f-e20f-0101 ffff-ffff-ffff egress 000f-e20f-0303 ffff-ffff-ffff time-range test

[H3C-acl-ethernetframe-4000] quit

(3)       在連接埠上應用ACL

#在Ethernet 1/0/1連接埠上應用ACL 4000。

[H3C] interface Ethernet 1/0/1

[H3C-Ethernet1/0/1]qos

[H3C-qoss-Ethernet1/0/1] packet-filter inbound link-group 4000

本文章原先以中文撰寫並發佈於 aliyun.com,亦設英文版本,僅作資訊用途。本網站不對文章的準確性,完整性或可靠性或其任何翻譯作出任何明示或暗示的陳述或保證。如對該文章有任何疑慮或投訴,請傳送電郵至 info-contact@alibabacloud.com 並提供相關疑慮或投訴的詳細說明。職員會於 5 個工作天內與您聯絡,一經驗證之後,即會刪除該侵權內容。

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

Get Started for Free

  • Sales Support

    1 on 1 presale consultation

    Chat Contact Sales

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

    Open a Ticket

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.

    Learn More