《HC交换机典型ACL访问控制列表配置实例.docx》由会员分享,可在线阅读,更多相关《HC交换机典型ACL访问控制列表配置实例.docx(7页珍藏版)》请在三一文库上搜索。
1、HC交换机典型ACL访问控制列表配置实例The Standaidization Office was revised on the afternoon of December 13, 2020H3C交换机典型(ACL)访问控制列表配置实例一、组网需求:1. 通过配置基本访问控制列表,实现在每天8:0018:00时间段内对源IP为10.1.1.2 主机发出报文的过滤;2. 要求配置高级访问控制列表,禁止研发部门与技术支援部门之间互访,并限制研发部门在上班时间8:00至18:00访问工资查询服务器;3. 通过二层访问控制列表,实现在每天8:0018:00时间段内对源MAC为00e0-fc01-01
2、01的报文进行过滤。二、组网图:三、配置步骤:H3C 3600 5600 5100系列交换机典型访问控制列表配程共用配宜1. 根据组网图,创建四个vlan,对应加入各个端口system-viewH3Cvlan 10H3C-vlanlOport GigabitEthernet 1/0/1H3C-vlanlOvlan 20H3C-vlan20port GigabitEthernet 1/0/2H3C-vlan20vlan 30H3C-vlan30port GigabitEthernet 1/0/3H3C-vlan30vlan 40H3C-vlan40port GigabitEthernet 1/0
3、/4H3C-vlan40quit2. 配畳各 N虚接口地址H3Cinterface vlan 10H3C-Vlan-interfacelOip address 10.1.1.1 24H3C-Vlan-interfacelOquitH3Cinterface vlan 20H3C-Vlan-interface20ip address 10.1.2.1 24H3C-Vlan-interface20quitH3Cinterface vlan 30H3C-Vlan-interface30ip address 10.1.3.1 24H3C-Vlan-interface30quitH3Cinterface
4、vlan 40H3C-Vlan-interface40ip address 10.1.4.1 24 H3C-Vlan-interface40quit3. 泄义时间段H3C time-range huawei &00 to 1&00 working-day需求1配置(基本ACL配置)1. 进入2000号的基本访问控制列表视图H3C-GigabitEthernetl/0/l acl number 20002. 宦义访问规则过滤10.1.1.2主机发出的报文H3C-acl-basic-2000 rule 1 deny source 10.1.1.2 0 time-range Huawei3. 在接口
5、上应用2000号ACLH3C-acl-basic-2000 interface GigabitEthernetl/0/1H3C-GigabitEthernetl/0/l packet-filter inbound ip-group 2000H3C-GigabitEthernetl/0/l quit需求2配置(高级ACL配置)1. 进入3000号的髙级访问控制列表视图H3C acl number 30002. 泄义访问规则禁止研发部门与技术支援部门之间互访H3C-acl-adv-3000rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10
6、.1.1.0 0.0.0.2553. 定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器H3C-acl-adv-3000 rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-ra nge HuaweiH3C-acl-adv-3000 quit4. 在接口上用3000号ACLH3C-acl-adv-3000 interface GigabitEthernetl/0/2H3C-GigabitEthernetl/0/2 packet-filter inbound ip-group 3000需求3配置(二层
7、ACL配置)1. 进入4000号的二层访问控制列表视图H3C acl number 40002. 泄义访问规则过滤源MAC为00e0-fc01-0101的报文H3C-acl-ethernetframe-4000 rule 1 deny source 00e0-fc01-0101 ffff-ffff-ffff time-ran ge Huawei3. 在接口上应用4000号ACLH3C-acl-ethernetframe-4000 interface GigabitEthernetl/0/4H3C-GigabitEthernetl/0/4 packet-filter inbound link-g
8、roup 40002 H3C 5500-SI 3610 5510系列交换机典型访问控制列表配置需求2配置1. 进入3000号的髙级访问控制列表视图H3C acl number 30002. 宦义访问规则禁止研发部门与技术支援部门之间互访H3C-acl-adv-3000rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.2553. 泄义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器H3C-acl-adv-3000 rule 2 deny ip source any destination 1
9、29.110.1.2 0.0.0.0 time-ra nge HuaweiH3C-acl-adv-3000 quit4. 泄义流分类H3C traffic classifier a beH3C-classifier-abcif-match acl 3000H3C-classifier-abcquit5. 定义流行为,确定禁止符合流分类的报文H3C traffic behavior abcH3C-behavior-abc filter denyH3C-behavior-abc quit6左义Qos策略,将流分类和流行为进行关联H3Cqos policy a beH3C-qospolicy-abc
10、 classifier abc behavior abcH3C-qospolicy-abc quit7. 在端口下发Qos policyH3C interface gl/1/2H3C-GigabitEthernetl/1/2 qos apply policy abc inbound8. 补充说明:I acl只是用来区分数据流,permit与deny由filter确定:I如果一个端口同时有permit和deny的数据流,需要分别左义流分类和流行为,并在 同一 QoS策略中进行关联;IQoS策略会按照配置顺序将报文和classifier相匹配,当报文和某一个classifier匹配 后,执行该classifier所对应的behavior,然后策略执行就结束了,不会再匹配剩下的c lassifier:I将QoS策略应用到端口后,系统不允许对应修改义流分类、流行为以及QoS策略,直 至取消下发。四、配置关键点:1. time-name可以自由定义:2. 设麗访问控制规则以后,一泄要把规则应用到相应接口上,应用时注意inbound方 向应与 rule 中 source 和 destination 对应;3. S5600系列交换机只支持inbound方向的规则,所以要注意应用接口的选择: