H3C交换机典型访问控制列表(ACL)配置实例

一组网需求：1通过配置基本访问控制列表，实现在每天8:0018:00时间段内对源IP为10.1.1.2主机发出报文的过滤；2要求配置高级访问控制列表，禁止研发部门与技术支援部门之间互访，并限制研发部门在上班时间8:00至18:00访问工资查询服务器；3.通过二层访问控制列表，实现在每天8:0018:00时间段内对源MAC为00e0-fc01-0101的报文进行过滤。二组网图：1H3C360056005100系列交换机典型访问控制列表配置共用配置1. 根据组网图，创建四个vian,对应加入各个端口<H3C>system-viewH3Cvian10H3C-vian10portGigabitEthernet1/0/1H3C-vian10vian20H3C-vian20portGigabitEthernet1/0/2H3C-vian20vian20H3C-vian20portGigabitEthernet1/0/3H3C-vian20vian30H3C-vian30portGigabitEthernet1/0/3H3C-vian30vian40H3C-vian40portGigabitEthernet1/0/4H3C-vian40quit2 .配置各VLAN虚接口地址H3Cinterfacevlan10H3C-Vlan-interface10ipaddress10.1.1.124H3C-Vlan-interface10quitH3Cinterfacevlan20H3C-Vlan-interface20ipaddress10.1.2.124H3C-Vlan-interface20quitH3Cinterfacevlan30H3C-Vlan-interface30ipaddress10.1.3.124H3C-Vlan-interface30quitH3Cinterfacevlan40H3C-Vlan-interface40ipaddress10.1.4.124H3C-Vlan-interface40quit3.定义时间段H3Ctime-rangehuawei8:00to18:00working-day需求1配置（基本ACL配置）1. 进入2000号的基本访问控制列表视图H3C-GigabitEthernet1/0/1aclnumber20002. 定义访问规则过滤10.1.1.2主机发出的报文H3C-acl-basic-2000rule1denysource10.1.1.20time-rangeHuawei3 .在接口上应用2000号ACLH3C-acl-basic-2000interfaceGigabitEthernet1/0/1H3C-GigabitEthernet1/0/1packet-filterinboundip-group2000H3C-GigabitEthernet1/0/1quit需求2配置（高级ACL配置）1. 进入3000号的高级访问控制列表视图H3Caclnumber30002. 定义访问规则禁止研发部门与技术支援部门之间互访H3C-acl-adv-3000rule1denyipsource10.1.2.00.0.0.255destination10.1.1.00.0.0.2553. 定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器H3C-acl-adv-3000rule2denyipsourceanydestination129.110.1.20.0.0.0time-rangeHuaweiH3C-acl-adv-3000quit4.在接口上用3000号ACLH3C-acl-adv-3000interfaceGigabitEthernet1/0/2H3C-GigabitEthernet1/0/2packet-filterinboundip-group3000需求3配置（二层ACL配置）1.进入4000号的二层访问控制列表视图H3Caclnumber40002. 定义访问规则过滤源MAC为OOeO-fcO1-O1O1的报文H3C-acl-ethernetframe-4000rule1denysource00e0-fc01-0101ffff-ffff-fffftime-rangeHuawei3. 在接口上应用4000号ACLH3C-acl-ethernetframe-4OOOinterfaceGigabitEthernet1/O/4H3C-GigabitEthernet1/0/4packet-filterinboundlink-group40002H3C5500-SI36105510系列交换机典型访问控制列表配置需求2配置1进入3000号的高级访问控制列表视图H3Caclnumber30002定义访问规则禁止研发部门与技术支援部门之间互访H3C-acl-adv-3000rule1denyipsource10.1.2.00.0.0.255destination10.1.1.00.0.0.2553定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器H3C-acl-adv-3000rule2denyipsourceanydestination129.110.1.20.0.0.0time-rangeHuaweiH3C-acl-adv-3000quit4定义流分类H3CtrafficclassifierabcH3C-classifier-abcif-matchacl3000H3C-classifier-abcquit5定义流行为，确定禁止符合流分类的报文H3CtrafficbehaviorabcH3C-behavior-abcfilterdenyH3C-behavior-abcquit6. 定义Qos策略，将流分类和流行为进行关联H3CqospolicyabcH3C-qospolicy-abcclassifierabcbehaviorabcH3C-qospolicy-abcquit7. 在端口下发QospolicyH3Cinterfaceg1/1/2H3C-GigabitEthernet1/1/2qosapplypolicyabcinbound8. 补充说明： acl只是用来区分数据流，permit与deny由filter确定；如果一个端口同时有permit和deny的数据流，需要分别定义流分类和流行为，并在同一QoS策略中进行关联; QoS策略会按照配置顺序将报文和classifier相匹配，当报文和某一个classifier匹配后，执行该classifier所对应的behavior，然后策略执行就结束了，不会再匹配剩下的classifier；将QoS策略应用到端口后，系统不允许对应修改义流分类、流行为以及QoS策略，直至取消下发。四配置关键点：1. time-name可以自由定义；2. 设置访问控制规则以后，一定要把规则应用到相应接口上，应用时注意inbound方向应与rule中source和destination对应；3. S5600系列交换机只支持inbound方向的规则，所以要注意应用接口的选择；