H3c 高级ACL配置案例
S3610_S5510系列交换机IPv4 ACL的配置
一 组网需求:
在端口Ethernet1/0/2配置IPv4报文过滤,允许源地址为1.0.0.0/8的报文通过,但是禁止源地址为1.1.1.1的报文通过。
二 组网图:
无
三 配置步骤:
1. 配置IPv4 ACL
# 进入系统视图
system-view
# 配置源地址为1.1.1.1的访问规则
acl number 3001
rule deny ip source 1.1.1.1 0
# 配置其他源地址的访问规则
acl number 3002
rule permit ip source 1.0.0.0 0.255.255.255
2. 配置端口Ethernet1/0/1入方向的IPv4报文过滤
# 配置拒绝接收源地址为1.1.1.1报文的类和流行为
traffic classifier 1
if-match acl 3001
quit
traffic behavior 1
filter deny
quit
# 配置允许其他源地址的类和流行为
traffic classifier 2
if-match acl 3002
quit
traffic behavior 2
filter permit
quit
# 配置策略
qos policy test
classifier 1 behavior 1
classifier 2 behavior 2
quit
# 应用策略
interface Ethernet 1/0/1
qos apply policy test inbound
四 配置关键点:
1. ACL最终的匹配动作是permit还是deny,不由ACL中rule的动作决定,而是由此ACL所对应的behavior的动作决定的。
2. 对于既有permit又有deny要求的访问控制,必须规定两个behavior,一个为permit,一个为deny。
普通 H3C 配置
(1) 定义时间段
#定义8:00至18:00的周期时间段。
system-view
time-range test8:00 to 18:00working-day
(2) 定义到工资服务器的ACL
#进入ACL 3000视图。
acl number 3000
#定义研发部门到工资服务器的访问规则。
rule 1 deny ip destination 192.168.1.2 0 time-range test
quit
(3) 在端口上应用ACL
#在Ethernet 1/0/1端口上应用ACL 3000。
interface Ethernet1/0/1
qos
packet-filter inbound ip-group 3000
(1) 定义时间段
#定义8:00至18:00的周期时间段。
system-view
time-range test8:00 to 18:00daily
(2) 定义源MAC为000f-e20f-0101目的MAC为000f-e20f-0303的ACL规则
#进入ACL 4000视图
acl number 4000
#定义源MAC为000f-e20f-0101目的MAC为000f-e20f-0303的流分类规则。
rule 1 deny ingress 000f-e20f-0101 ffff-ffff-ffff egress 000f-e20f-0303 ffff-ffff-ffff time-range test
quit
(3) 在端口上应用ACL
#在Ethernet 1/0/1端口上应用ACL 4000。
interface Ethernet 1/0/1
qos
packet-filter inbound link-group 4000
学习
页:
[1]