H3C交换机典型访问控制列表(ACL)配置实例
一 组网需求:
1.通过配置基本访问控制列表,实现在每天8:00~18:00时间段内对源IP为10.1.1.2主机发出报文的过滤;
2.要求配置高级访问控制列表,禁止研发部门与技术支援部门之间互访,并限制研发部门在上班时间8:00至18:00访问工资查询服务器;
3.通过二层访问控制列表,实现在每天8:00~18:00时间段内对源MAC为00e0-fc01-0101的报文进行过滤。
二 组网图:
三配置步骤:
H3C 3600 5600 5100系列交换机典型访问控制列表配置 共用配置
1.根据组网图,创建四个vlan,对应加入各个端口
[H3C-vlan10]port GigabitEthernet 1/0/1
[H3C-vlan10]vlan 20
[H3C-vlan20]port GigabitEthernet 1/0/2
[H3C-vlan20]vlan 20
[H3C-vlan20]port GigabitEthernet 1/0/3
[H3C-vlan20]vlan 30 [
H3C-vlan30]port GigabitEthernet 1/0/3
[H3C-vlan30]vlan 40
[H3C-vlan40]port GigabitEthernet 1/0/4
[H3C-vlan40]quit
2.配置各VLAN虚接口地址
[H3C]interface vlan 10
[H3C-Vlan-interface10]ip address 10.1.1.1 24
[H3C-Vlan-interface10]quit [H3C]interface vlan 20 [H3C-Vlan-interface20]ip address 10.1.2.1 24
[H3C-Vlan-interface20]quit [H3C]interface vlan 30 [H3C-Vlan-interface30]ip address 10.1.3.1 24
[H3C-Vlan-interface30]quit [H3C]interface vlan 40 [H3C-Vlan-interface40]ip address 10.1.4.1 24
[H3C-Vlan-interface40]quit
3.定义时间段 [H3C] time-range huawei 8:00 to 18:00 working-day 需求1配置(基本ACL配置)
先在接口下,把acl number 3003的应用取消了再进行修改!
undo
ACL下发以后是不能修改的,必须先撤销下发执行,然后就可以改了.
undo packet-filter ......
acl number 3003 name permit_2
rule 1 permit ip destination 192.168.5.5 0
rule 2 permit ip destination 192.168.5.6 0
traffic classifier global operator and
if-match acl 3003(如果匹配acl 3003)
traffic behavior global
xxxxxxxxxxx (你要应用的动作)
上面的意思就是“匹配指定的acl,那么就执行指定的动作”
qos policy global
classifier global behavior global
这句话的意思就是把这个匹配条件和执行的动作绑定到qos策略上。
interface GigabitEthernet2/1/3
qos apply policy global inbound
以上是建立的过程,如果你想修改acl那么现在接口下取消策略:
interface GigabitEthernet2/1/3
undo qos apply policy
然后再修改acl,改完之后再应用到接口上就可以了。
interface GigabitEthernet2/1/3
qos apply policy global inbound
如果这个交换机支持acl直接应用的接口,那么就不用这么麻烦了。
建立了acl之后直接用到接口上就可以了。
interface GigabitEthernet2/1/3
packet-filter inbound ip-group 3003
你先把配置贴上来,看看配置在告诉你怎么改
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024