设为首页 收藏本站

运维网

 找回密码
 立即注册
查看: 3814|回复: 1

H3c 高级ACL配置案例

[复制链接]
cf2000

尚未签到
发表于 2015-5-26 07:56:29 | 显示全部楼层 |阅读模式
  

S3610_S5510系列交换机IPv4 ACL的配置
一      组网需求:
在端口Ethernet1/0/2配置IPv4报文过滤,允许源地址为1.0.0.0/8的报文通过,但是禁止源地址为1.1.1.1的报文通过。
二      组网图:

三      配置步骤:
1. 配置IPv4 ACL
# 进入系统视图
system-view
# 配置源地址为1.1.1.1的访问规则
[Switch] acl number 3001
[Switch-acl6-adv-3001] rule deny ip source 1.1.1.1 0
# 配置其他源地址的访问规则
[Switch] acl number 3002
[Switch-acl6-adv-3002] rule permit ip source 1.0.0.0 0.255.255.255
2. 配置端口Ethernet1/0/1入方向的IPv4报文过滤
# 配置拒绝接收源地址为1.1.1.1报文的类和流行为
[Switch] traffic classifier 1
[Switch-classifier-1] if-match acl 3001
[Switch-classifier-1] quit
[Switch] traffic behavior 1
[Switch-behavior-1] filter deny
[Switch-behavior-1] quit
# 配置允许其他源地址的类和流行为
[Switch] traffic classifier 2
[Switch-classifier-2] if-match acl 3002
[Switch-classifier-2] quit
[Switch] traffic behavior 2
[Switch-behavior-2] filter permit
[Switch-behavior-2] quit
# 配置策略
[Switch] qos policy test
[Switch-qospolicy-test] classifier 1 behavior 1
[Switch-qospolicy-test] classifier 2 behavior 2
[Switch-qospolicy-test] quit
# 应用策略
[Switch] interface Ethernet 1/0/1
[Switch-Ethernet1/0/2] qos apply policy test inbound
四      配置关键点:
1.      ACL最终的匹配动作是permit还是deny,不由ACL中rule的动作决定,而是由此ACL所对应的behavior的动作决定的。
2.      对于既有permit又有deny要求的访问控制,必须规定两个behavior,一个为permit,一个为deny。
  
  
   普通 H3C 配置
  (1)       定义时间段
  #定义8:00至18:00的周期时间段。
   system-view
  [H3C] time-range test8:00 to 18:00working-day
  (2)       定义到工资服务器的ACL
  #进入ACL 3000视图。
  [H3C] acl number 3000
  #定义研发部门到工资服务器的访问规则。
  [H3C-acl-adv-3000] rule 1 deny ip destination 192.168.1.2 0 time-range test
  [H3C-acl-adv-3000] quit
  (3)       在端口上应用ACL
  #在Ethernet 1/0/1端口上应用ACL 3000。
  [H3C] interface Ethernet1/0/1
  [H3C-Ethernet1/0/1] qos
  [H3C-qoss-Ethernet1/0/1] packet-filter inbound ip-group 3000



  (1)       定义时间段
  #定义8:00至18:00的周期时间段。
   system-view
  [H3C] time-range test8:00 to 18:00daily
  (2)       定义源MAC为000f-e20f-0101目的MAC为000f-e20f-0303的ACL规则
  #进入ACL 4000视图
  [H3C] acl number 4000
  #定义源MAC为000f-e20f-0101目的MAC为000f-e20f-0303的流分类规则。
  [H3C-acl-ethernetframe-4000] rule 1 deny ingress 000f-e20f-0101 ffff-ffff-ffff egress 000f-e20f-0303 ffff-ffff-ffff time-range test
  [H3C-acl-ethernetframe-4000] quit
  (3)       在端口上应用ACL
  #在Ethernet 1/0/1端口上应用ACL 4000。
  [H3C] interface Ethernet 1/0/1
  [H3C-Ethernet1/0/1]qos
  [H3C-qoss-Ethernet1/0/1] packet-filter inbound link-group 4000
  

运维网声明 1、欢迎大家加入本站运维交流群:群②:261659950 群⑤:202807635 群⑦870801961 群⑧679858003
2、本站所有主题由该帖子作者发表,该帖子作者与运维网享有帖子相关版权
3、所有作品的著作权均归原作者享有,请您和我们一样尊重他人的著作权等合法权益。如果您对作品感到满意,请购买正版
4、禁止制作、复制、发布和传播具有反动、淫秽、色情、暴力、凶杀等内容的信息,一经发现立即删除。若您因此触犯法律,一切后果自负,我们对此不承担任何责任
5、所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其内容的准确性、可靠性、正当性、安全性、合法性等负责,亦不承担任何法律责任
6、所有作品仅供您个人学习、研究或欣赏,不得用于商业或者其他用途,否则,一切后果均由您自己承担,我们对此不承担任何法律责任
7、如涉及侵犯版权等问题,请您及时通知我们,我们将立即采取措施予以解决
8、联系人Email:admin@iyunv.com 网址:www.yunweiku.com

所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其承担任何法律责任,如涉及侵犯版权等问题,请您及时通知我们,我们将立即处理,联系人Email:kefu@iyunv.com,QQ:1061981298 本贴地址:https://www.yunweiku.com/thread-70673-1-1.html 上篇帖子: H3C系列之三层交换机系统版本升级 下篇帖子: H3C TE BGP拓扑排错报告
回复

使用道具 举报

返回列表
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

扫码加入运维网微信交流群X

扫码加入运维网微信交流群

扫描二维码加入运维网微信交流群,最新一手资源尽在官方微信交流群!快快加入我们吧...

扫描微信二维码查看详情

客服 E-mail:iyunvcom@gmail.com

本站由青云提供云计算服务

运维网--中国最专业的运维工程师交流社区

豫ICP备20007574号-1 Copyright © 2012-2025

关于我们

发展历程

联系我们

关注我们

广告服务

广告案例

隐私条款

免责声明

用户登录

用户注册

版主守则

申请版主

手机版

金币获取

帮助中心

每日签到

Good Good

Study

Day Day

UP


客服E-mail:kefu@iyunv.com 客服QQ:1061981298


QQ群⑦:运维网交流群⑦ QQ群⑧:运维网交流群⑧ k8s群:运维网kubernetes交流群


提醒:禁止发布任何违反国家法律、法规的言论与图片等内容;本站内容均来自个人观点与网络等信息,非本站认同之观点.


本站大部分资源是网友从网上搜集分享而来,其版权均归原作者及其网站所有,我们尊重他人的合法权益,如有内容侵犯您的合法权益,请及时与我们联系进行核实删除!



合作伙伴: 青云cloud

快速回复 返回顶部 返回列表