zoukankan      html  css  js  c++  java
  • H3c 高级ACL配置案例

    S3610_S5510系列交换机IPv4 ACL的配置

          组网需求:

    在端口Ethernet1/0/2配置IPv4报文过滤,允许源地址为1.0.0.0/8的报文通过,但是禁止源地址为1.1.1.1的报文通过。

          组网图:

          配置步骤:

    1. 配置IPv4 ACL

    # 进入系统视图

    <Switch> system-view

    # 配置源地址为1.1.1.1的访问规则

    [Switch] acl number 3001

    [Switch-acl6-adv-3001] rule deny ip source 1.1.1.1 0

    # 配置其他源地址的访问规则

    [Switch] acl number 3002

    [Switch-acl6-adv-3002] rule permit ip source 1.0.0.0 0.255.255.255

    2. 配置端口Ethernet1/0/1入方向的IPv4报文过滤

    # 配置拒绝接收源地址为1.1.1.1报文的类和流行为

    [Switch] traffic classifier 1

    [Switch-classifier-1] if-match acl 3001

    [Switch-classifier-1] quit

    [Switch] traffic behavior 1

    [Switch-behavior-1] filter deny

    [Switch-behavior-1] quit

    # 配置允许其他源地址的类和流行为

    [Switch] traffic classifier 2

    [Switch-classifier-2] if-match acl 3002

    [Switch-classifier-2] quit

    [Switch] traffic behavior 2

    [Switch-behavior-2] filter permit

    [Switch-behavior-2] quit

    # 配置策略

    [Switch] qos policy test

    [Switch-qospolicy-test] classifier 1 behavior 1

    [Switch-qospolicy-test] classifier 2 behavior 2

    [Switch-qospolicy-test] quit

    # 应用策略

    [Switch] interface Ethernet 1/0/1

    [Switch-Ethernet1/0/2] qos apply policy test inbound

          配置关键点:

    1.      ACL最终的匹配动作是permit还是deny,不由ACLrule的动作决定,而是由此ACL所对应的behavior的动作决定的。

    2.      对于既有permit又有deny要求的访问控制,必须规定两个behavior,一个为permit,一个为deny

     普通 H3C 配置

    (1)       定义时间段

    #定义8:00至18:00的周期时间段。

    <H3C> system-view

    [H3C] time-range test8:00 to 18:00working-day

    (2)       定义到工资服务器的ACL

    #进入ACL 3000视图。

    [H3C] acl number 3000

    #定义研发部门到工资服务器的访问规则。

    [H3C-acl-adv-3000] rule 1 deny ip destination 192.168.1.2 0 time-range test

    [H3C-acl-adv-3000] quit

    (3)       在端口上应用ACL

    #在Ethernet 1/0/1端口上应用ACL 3000

    [H3C] interface Ethernet1/0/1

    [H3C-Ethernet1/0/1] qos

    [H3C-qoss-Ethernet1/0/1] packet-filter inbound ip-group 3000


    (1)       定义时间段

    #定义8:00至18:00的周期时间段。

    <H3C> system-view

    [H3C] time-range test8:00 to 18:00daily

    (2)       定义源MAC为000f-e20f-0101目的MAC为000f-e20f-0303的ACL规则

    #进入ACL 4000视图

    [H3C] acl number 4000

    #定义源MAC为000f-e20f-0101目的MAC为000f-e20f-0303的流分类规则。

    [H3C-acl-ethernetframe-4000] rule 1 deny ingress 000f-e20f-0101 ffff-ffff-ffff egress 000f-e20f-0303 ffff-ffff-ffff time-range test

    [H3C-acl-ethernetframe-4000] quit

    (3)       在端口上应用ACL

    #在Ethernet 1/0/1端口上应用ACL 4000

    [H3C] interface Ethernet 1/0/1

    [H3C-Ethernet1/0/1]qos

    [H3C-qoss-Ethernet1/0/1] packet-filter inbound link-group 4000


  • 相关阅读:
    安装jar包到本地仓库和远程仓库
    服务之间的资源权限校验
    函数指针
    malloc分配内存
    cuda_vs_报错无法解析的外部错误
    c语言读写文件
    C++使用using namespace std报错分析与解决方案
    MPI环境配置
    c语言学习
    openMP
  • 原文地址:https://www.cnblogs.com/gergro/p/1188912.html
Copyright © 2011-2022 走看看