H3C ACL和Cisco ACL 配置案例

合集下载

ACL命令——H3C交换机（基本ACL）

ACL命令——H3C交换机（基本ACL）展开全文ACL命令——H3C交换机（基本ACL）1、acl命令用于创建一条ACL，并进入相应的ACL视图。

undo acl命令用于删除指定的ACL，或者删除全部ACL。

ACL支持两种匹配顺序，如下所示：1、配置顺序：根据配置顺序匹配ACL规则。

2、自动排序：根据“深度优先”规则匹配ACL规则。

“深度优先”规则说明如下：1、基本ACL的深度优先以源IP地址掩码长度排序，掩码越长的规则位置越靠前。

排序时比较源IP地址掩码长度，若源IP地址掩码长度相等，则先配置的规则匹配位置靠前。

例如，源IP地址掩码为255.255.255.0的规则比源IP地址掩码为255.255.0.0的规则匹配位置靠前。

2、高级ACL的深度优先以源IP地址掩码和目的IP地址掩码长度排序，掩码越长的规则位置越靠前。

排序时先比较源IP地址掩码长度，若源IP地址掩码长度相等，则比较目的IP地址掩码长度；若目的IP地址掩码长度也相等，则先配置的规则匹配位置靠前。

例如，源IP 地址掩码长度相等时，目的IP地址掩码为255.255.255.0的规则比目的IP地址掩码为255.255.0.0的规则匹配位置靠前。

可以使用match-order指定匹配顺序是按照用户配置的顺序还是按照深度优先顺序（优先匹配范围小的规则），如果不指定则缺省为用户配置顺序。

用户一旦指定一条ACL的匹配顺序后，就不能再更改，除非把该ACL规则全部删除，再重新指定其匹配顺序。

ACL的匹配顺序特性只在该ACL被软件引用进行数据过滤和分类时有效。

【举例】# 定义ACL 2000的规则，并定义规则匹配顺序为深度优先顺序。

<H3C> system-viewSystem View: return to User View with Ctrl+Z.[H3C] acl number 2000 match-order auto[H3C-acl-basic-2000]2、description命令用来定义ACL的描述信息，描述该ACL的具体用途。

H3C的ACL设置

用户的需求：内网部分主机在特定时间段不能上网，但可以在内网间互访1．创建时间段test创建时间段完成后状态如下：2创建ipv4 acl限制内网的主机ip（192.168.1.2）在上班时间段test 内不能上网（其他ip以此类推举，均在3009和3010中配置；不同点仅在于“高级配置”中的“规则ID”数字不同）：创建3009访问控制列表：点击应用后的状态点击“高级配置”配置3009的具体规则：点击“添加”完成3009的规则ID 0的配置（该规则用来允许用户内网间互访）创建3010访问控制列表：点击应用后的状态点击“高级配置”配置3010的具体规则：点击“添加”完成3010的规则ID 0的配置（该规则用来禁止用户上外网）3创建类引用刚才创建的acl：点击创建后的状态点击“设置”引用刚才创建的访问控制列表3009点击应用完成类(test)的设置，如点击应用后出现如下提示则代表设置成功，只需点击提示信息的“关闭”即可创建引用3010的规则的“类”：点击创建完成创建点击“设置”引用刚才创建的访问控制列表3010置成功，只需点击提示信息的“关闭”即可4．创建“流行为”指定对于上面的“类”的控制动作：点击创建完成“test”的创建。

选择“设置”设备对应“类（test）”的流行为为“permit”，即允许符合该类的用户通过“关闭即可”创建流行为“test1”点击创建完成“test1”的创建。

选择“设置”设备对应“类（test1）”的流行为为“Deny”，即拒绝符合该类的用户通过“关闭即可”5．创建“策略”关联已创建的“类”与“流行为”点击“创建”完成test创建点击“设置”关联已创建的“类”与“流行为”点击“应用”关联类（test）与流行为（test）6.设置“端口策略”应用之前创建的策略点击“应用”完成最终设置，出现如下提示点击“关闭”。

三层交换机访问控制列表ACL的配置

ACL未来的发展趋势
01 02
动态ACL
随着云计算和虚拟化技术的发展，网络流量和安全威胁呈现出动态变化的特点，动态ACL可以根据网络状态实时调整访问控制策略，提高网络安全防护的实时性和准确性。
智能ACL
通过引入人工智能和机器学习技术，智能ACL可以根据历史数据和行为模式自动识别和防御未知威胁，提高网络安全防护的智能化水平。
三层交换机访问控制列表 ACL的配置
目录
• ACL概述 • 三层交换机与ACL配置 • 配置实例 • ACL常见问题及解决方案 • 总结与展望
01
ACL概述
ACL的定义
访问控制列表（ACL）是一种用于实现网络访问控制的安全机制，它可以根据预先设定的条件对数据包进行过滤，从而允许或拒绝数据包的传输。
ACL可以应用于三层交换机，实现对网络流量的访问控制和过滤。
通过配置ACL，可以限制网络访问权限，保护敏感资源不被非法
访问。
ACL可以与三层交换机的路由功能结合使用，实现更加灵活和高效的网Biblioteka 控制。三层交换机ACL配置步骤
登录三层交换机，进入系统视图。
将ACL应用到相应的接口上，实现数据包的过滤和控制。
03
融合ACL
随着网络安全威胁的不断演变，单一的ACL策略已经难以满足安全需求，
融合ACL可以将多种安全策略进行有机融合，形成多层次、全方位的安
全防护体系，提高网络的整体安全性。
感谢您的观看
THANKS
ACL性能问题
总结词
ACL的配置不当可能导致设备性能下降，影响网络的整体性能。
详细描述
ACL的配置涉及到对数据包的匹配和转发，如果配置不当，可能会导致设备处理数据包的速度变慢，甚至出现丢包现象。为提高设备性能，应合理规划ACL规则，尽量减少不必要的匹配操作，并考虑使用硬件加速技术来提高数据包的处理速度。

H3C华为交换机ACL基本配置

H3C华为交换机ACL基本配置字体: 小中大| 打印发表于: 2007-8-23 19:53 作者: woyao 来源: OSPF社区空间1，二层ACL. 组网需求:通过二层访问控制列表，实现在每天8:00～18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。

该主机从GigabitEthernet0/1接入。

.配置步骤:(1)定义时间段# 定义8:00至18:00的周期时间段。

[Quidway] time-range huawei 8:00 to 18:00 daily(2)定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL# 进入基于名字的二层访问控制列表视图，命名为traffic-of-link。

[Quidway] acl name traffic-of-link link# 定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则。

[Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress00e0-fc01-0303 0-0-0 time-range huawei(3)激活ACL。

# 将traffic-of-link的ACL激活。

[Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link2，三层ACLa)基本访问控制列表配置案例. 组网需求:通过基本访问控制列表，实现在每天8:00～18:00时间段内对源IP为10.1.1.1主机发出报文的过滤。

该主机从GigabitEthernet0/1接入。

.配置步骤:(1)定义时间段# 定义8:00至18:00的周期时间段。

[Quidway] time-range huawei 8:00 to 18:00 daily(2)定义源IP为10.1.1.1的ACL# 进入基于名字的基本访问控制列表视图，命名为traffic-of-host。

H3C-5120交换机ACL配置

H3C-5120交换机ACL配置1. 介绍ACL（Access Control List）是H3C-5120交换机中的一种允许或拒绝数据包通过的规则集。

它用于网络安全策略的实施，帮助管理员控制网络中各种流量的流向和处理。

本文档将引导您如何在H3C-5120交换机上配置ACL，以实现对网络流量的有效控制和保护。

2. 配置步骤以下是在H3C-5120交换机上配置ACL的步骤：步骤1：登录交换机使用SSH或Telnet等远程登录工具登录到H3C-5120交换机的管理控制台。

步骤2：进入ACL配置模式输入以下命令，进入ACL配置模式：[System-view][Sysname] acl number 2000[Sysname-acl-basic-2000]这将创建一个编号为2000的ACL，并进入ACL基本配置模式。

步骤3：配置ACL规则在ACL基本配置模式下，您可以配置允许或拒绝的规则。

例如，下面是一个简单的ACL配置示例，允许来自IP地址为192.168.1.0/24的流量通过：[Sysname-acl-basic-2000][Sysname-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255 您可以根据需要配置更多规则，用于控制不同类型的流量。

步骤4：应用ACL在ACL配置完成后，您需要将ACL应用到适当的接口上。

例如，如果您想将ACL应用到GigabitEthernet1/0/1接口上，可以使用以下命令：[Sysname] interface GigabitEthernet 1/0/1[Sysname-GigabitEthernet1/0/1] packet-filter 2000 inbound这将在接口的入方向（inbound）应用ACL编号为2000的规则。

步骤5：保存配置输入以下命令保存配置：[Sysname] save3. 总结ACL是H3C-5120交换机上实现网络安全策略的重要工具。

H3CACL介绍及配置

H3C ACL介绍及配置ACL配置（一般在路由器防火墙等设备上做设置）：ACL配置分类：基本ACL：编号范围2000-2999扩展或高级ACL：编号：3000-3999二层ACL：编号：4000-4999自定义ACL：编号：5000-5999[sys] firewall enable 开启过滤防火墙(在路由器和防火墙上使用) [sys] firewall default permit | deny 修改缺省规则（默认是permit）[sys] acl number xxxx根据实际情况选择ACL类别[sys-acl-basic-2000] rule (rule ID 规则编号可选) deny | permit source ip 地址反掩码[sys] int e0/1/2[sys-ethernet0/1/1] firewall packet-filter acl编号inbound | outbound 在接口应用ACL[sys] dispaly acl all 查看配置的ACL信息[sys] dis firewall-statistics all 查看防火墙统计信息<sys>reset firewall-statistics all 清除防火墙统计信息<sys> resetacl counter acl编号/all 清除ACL统计信息ACL规则匹配顺序：ACL支持两种顺序：config配置顺序（按照手动配置的先后顺序进行匹配）和auto 自动排序（按照深度优先的顺序进行匹配，即地址范围小的规则被优先进行匹配）默认的顺序是CONFIG（配置顺序）修改默认的匹配顺序：[sys] acl number ACL编号match-order auto | config基本ACL的“深度优先”顺序判断原则：1、先比较源IP地址范围，源IP地址范围越小（反掩码中“0”位的数量越多）的规则优先2、如果源IP地址范围相同，则先配置的规则优先高级ACL的“深度优先”顺序判断原则：1、先比较协议范围，指定了IP协议承载的协议类型的规则优先2、如果协议相同，则比较源IP地址，源IP地址范围越小的规则优先3、如果源IP地址相同，则比较目标地址范围，目标IP地址范围越小的规则优先4、如果目标IP地址相同，则比较第四层端口号（TCP/UDP端口号）范围，四层端口号范围小的规则优先5、如果上述范围都相同，则先配置的规则优先网络中配置ACL的原则：1、基本ACL应在不影响其他合法访问的情况下，尽可能使ACL靠近被过滤的源2、高级ACL应尽量靠近被过滤的源端口上应用ACLACL包过滤防火墙是静态防火墙，动态可以应用ASPF，基于应用层状态的包过滤>二层ACL里要写掩码，那么表示单个主机就是FFFF-FFFF-FFFF，所有主机就是0000-0000-0000。

H3C交换机典型(ACL)访问控制列表配置实例

H3C交换机典型（ACL）访问控制列表配置实例一、组网需求：1．通过配置基本访问控制列表，实现在每天8:00～18:00时间段内对源IP为10.1.1.2主机发出报文的过滤；2．要求配置高级访问控制列表，禁止研发部门与技术支援部门之间互访，并限制研发部门在上班时间8:00至18:00访问工资查询服务器；3．通过二层访问控制列表，实现在每天8:00～18:00时间段内对源MAC为00e0-fc01-0101的报文进行过滤。

二、组网图：三、配置步骤：H3C 3600 5600 5100系列交换机典型访问控制列表配置共用配置1．根据组网图，创建四个vlan，对应加入各个端口<H3C>system-view[H3C]vlan 10[H3C-vlan10]port GigabitEthernet 1/0/1[H3C-vlan10]vlan 20[H3C-vlan20]port GigabitEthernet 1/0/2[H3C-vlan20]vlan 30[H3C-vlan30]port GigabitEthernet 1/0/3[H3C-vlan30]vlan 40[H3C-vlan40]port GigabitEthernet 1/0/4[H3C-vlan40]quit2．配置各VLAN虚接口地址[H3C]interface vlan 10[H3C-Vlan-interface10]ip address 10.1.1.1 24 [H3C-Vlan-interface10]quit[H3C]interface vlan 20[H3C-Vlan-interface20]ip address 10.1.2.1 24 [H3C-Vlan-interface20]quit[H3C]interface vlan 30[H3C-Vlan-interface30]ip address 10.1.3.1 24 [H3C-Vlan-interface30]quit[H3C]interface vlan 40[H3C-Vlan-interface40]ip address 10.1.4.1 24 [H3C-Vlan-interface40]quit3．定义时间段[H3C] time-range huawei 8:00 to 18:00 working-day需求1配置（基本ACL配置）1．进入2000号的基本访问控制列表视图[H3C-GigabitEthernet1/0/1] acl number 20002．定义访问规则过滤10.1.1.2主机发出的报文[H3C-acl-basic-2000] rule 1 deny source 10.1.1.2 0 time-range Huawei3．在接口上应用2000号ACL[H3C-acl-basic-2000] interface GigabitEthernet1/0/1[H3C-GigabitEthernet1/0/1] packet-filter inbound ip-group 2000[H3C-GigabitEthernet1/0/1] quit需求2配置（高级ACL配置）1．进入3000号的高级访问控制列表视图[H3C] acl number 30002．定义访问规则禁止研发部门与技术支援部门之间互访[H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.2553．定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器[H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time -range Huawei[H3C-acl-adv-3000] quit4．在接口上用3000号ACL[H3C-acl-adv-3000] interface GigabitEthernet1/0/2[H3C-GigabitEthernet1/0/2] packet-filter inbound ip-group 3000需求3配置（二层ACL配置）1．进入4000号的二层访问控制列表视图[H3C] acl number 40002．定义访问规则过滤源MAC为00e0-fc01-0101的报文[H3C-acl-ethernetframe-4000] rule 1 deny source 00e0-fc01-0101 ffff-ffff-ffff time-r ange Huawei3．在接口上应用4000号ACL[H3C-acl-ethernetframe-4000] interface GigabitEthernet1/0/4[H3C-GigabitEthernet1/0/4] packet-filter inbound link-group 40002 H3C 5500-SI 3610 5510系列交换机典型访问控制列表配置需求2配置1．进入3000号的高级访问控制列表视图[H3C] acl number 30002．定义访问规则禁止研发部门与技术支援部门之间互访[H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.2553．定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器[H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time -range Huawei[H3C-acl-adv-3000] quit4．定义流分类[H3C] traffic classifier abc[H3C-classifier-abc]if-match acl 3000[H3C-classifier-abc]quit5．定义流行为，确定禁止符合流分类的报文[H3C] traffic behavior abc[H3C-behavior-abc] filter deny[H3C-behavior-abc] quit6．定义Qos策略，将流分类和流行为进行关联[H3C]qos policy abc[H3C-qospolicy-abc] classifier abc behavior abc[H3C-qospolicy-abc] quit7．在端口下发Qos policy[H3C] interface g1/1/2[H3C-GigabitEthernet1/1/2] qos apply policy abc inbound8．补充说明：l acl只是用来区分数据流，permit与deny由filter确定；l 如果一个端口同时有permit和deny的数据流，需要分别定义流分类和流行为，并在同一QoS策略中进行关联；l QoS策略会按照配置顺序将报文和classifier相匹配，当报文和某一个classifier匹配后，执行该classifier所对应的behavior，然后策略执行就结束了，不会再匹配剩下的classif ier；l 将QoS策略应用到端口后，系统不允许对应修改义流分类、流行为以及QoS策略，直至取消下发。

H3C交换机策略与acl的混合使用经典案例

affic classifier与acl的混合使用（案例）公司企业网通过交换机（以S5500-EI为例）实现各部门之间的互连。

要求配置高级IPv4 ACL，禁止研发部门和市场部门在上班时间（8:00至18:00）访问工资查询服务器（IP地址为192.168.4.1），而总裁办公室不受限制，可以随时访问。

1 配置过程和解释(1) 定义工作时间段# 定义8:00至18:00的周期时间段。

<Switch> system-view[Switch] time-range trname 8:00 to 18:00 working-day(2) 定义到工资查询服务器的访问规则# 定义研发部门到工资查询服务器的访问规则。

[Switch] acl number 3000[Switch-acl-adv-3000] rule deny ip source 192.168.2.0 0.0.0.255 destination 192.168.4.1 0 time-range trname[Switch-acl-adv-3000] quit# 定义市场部门到工资查询服务器的访问规则。

[Switch] acl number 3001[Switch-acl-adv-3001] rule deny ip source 192.168.3.0 0.0.0.255 destination 192.168.4.1 0 time-range trname[Switch-acl-adv-3001] quit(3) 应用访问规则# 定义类classifier_rd，对匹配高级IPv4 ACL 3000的报文进行分类。

[Switch] traffic classifier classifier_rd[Switch-classifier-classifier_rd] if-match acl 3000[Switch-classifier-classifier_rd] quit# 定义流行为behavior_rd，动作为拒绝报文通过。

H3C交换机策略与acl的混合使用经典案例

affic classifier与acl的混合使用（案例）公司企业网通过交换机（以S5500-EI为例）实现各部门之间的互连。

1 配置过程和解释(1) 定义工作时间段# 定义8:00至18:00的周期时间段。

<Switch> system-view[Switch] time-range trname 8:00 to 18:00 working-day(2) 定义到工资查询服务器的访问规则# 定义研发部门到工资查询服务器的访问规则。

[Switch] traffic classifier classifier_rd[Switch-classifier-classifier_rd] if-match acl 3000[Switch-classifier-classifier_rd] quit# 定义流行为behavior_rd，动作为拒绝报文通过。

h3c三层交换机acl实战一例-电脑资料

h3c三层交换机acl实战一例-电脑资料新建的图书馆只能访问电子阅览室，且不能访问内网其他主机，以免对安全造成影响，不开放上外网电子阅览室的IP为10.0.1.9，新建的图书馆打算划分的vlan为vlan 11，网段为10.1.11.0/25，vlan-int 11的IP为10.1.11.1，三层交换机已经默认做好vlan间路由，。

配置如下：1，不能访问外网：这个只要在路由器上不给它做nat便可，所以不用更改，因为默认是没给新网段做nat的2，为实现方案，要在核心交换机做Acl：a,入方向acl num 3001 name ReadRoomInrule perm ip source 10.1.11.0 0.0.0.127 dest 10.1.11.0 0.0.0.127rule perm ip dest 10.0.1.4 0rule perm ip dest 10.0.1.9 0rule deny ipquit这是入方向的，第一条是让vlan11内的电脑间可以互通，且vlan 内的主机跟网关之间数据包可正常收发，这是非常重要的；第二条和第三条是让图书馆内的电脑可以访问到dns服务器和电子阅览室，最后一条当然是让它不能访问内网其他主机了b,出方向acl num 3002 name ReadRoomOutrule perm ip sour 10.0.1.4 0 dest 10.1.11.0 0.0.0.127rule perm ip sour 10.0.1.9 0 dest 10.1.11.0 0.0.0.127rule deny ip这是出方向的，第一、二条是保证dns主机和电子阅览室主机跟vlan 11之间数据包互通，第三条就是禁止内网其他主机跟vlan 11内主机互通，电脑资料《h3c三层交换机acl实战一例》(https://www.)。

因为路由是双向的，所以inbound和outbound方向都有关于10.0.1.4和10.0.1.9两个主机的设定c,在vlan接口上运用aclint vlan 101dest ReadRoompacket-filter acl name ReadRoomIn inboundpacket-filter acl name ReadRoomOut outbound最后，在接入层电子阅览室的无线ap上做nat，wan口接入核心交换机并加入vlan11，实现了图书馆内的电脑只能访问电子阅览室而不能访问内网其他主机及不能访问internet的目的。

H3C交换机典型(ACL)访问控制列表配置实例

精心整理H3C交换机典型（ACL）访问控制列表配置实例一、组网需求：2．要求配置高级访问控制列表，禁止研发部门与技术支援部门之间互访，并限制研发部门在上班时间8:00至18:00访问工资查询服务器；3．通过二层访问控制列表，实现在每天8:00～18:00时间段内对源MAC为00e0-fc01-0101的报文进行过滤。

H3C交换机典型（ACL）访问控制列表配置实例

H3C交换机典型（ACL）访问控制列表配置实例一、组网需求：1．通过配置基本访问控制列表，实现在每天8:00～18:00时间段内对源IP为10.1.1.2主机发出报文的过滤； 2．要求配置高级访问控制列表，禁止研发部门与技术支援部门之间互访，并限制研发部门在上班时间8:00至18:00访问工资查询服务器；3．通过二层访问控制列表，实现在每天8:00～18:00时间段内对源MAC为00e0-fc01-0101的报文进行过滤。

二、组网图：三、配置步骤：H3C 3600 5600 5100系列交换机典型访问控制列表配置共用配置1．根据组网图，创建四个vlan，对应加入各个端口<H3C>system-view[H3C]vlan 10[H3C-vlan10]port GigabitEthernet 1/0/1[H3C-vlan10]vlan 20[H3C-vlan20]port GigabitEthernet 1/0/2[H3C-vlan20]vlan 30[H3C-vlan30]port GigabitEthernet 1/0/3[H3C-vlan30]vlan 40[H3C-vlan40]port GigabitEthernet 1/0/4[H3C-vlan40]quit2．配置各VLAN虚接口地址[H3C]interface vlan 10[H3C-Vlan-interface10]ip address 10.1.1.1 24[H3C-Vlan-interface10]quit[H3C]interface vlan 20[H3C-Vlan-interface20]ip address 10.1.2.1 24[H3C-Vlan-interface20]quit[H3C]interface vlan 30[H3C-Vlan-interface30]ip address 10.1.3.1 24[H3C-Vlan-interface30]quit[H3C]interface vlan 40[H3C-Vlan-interface40]ip address 10.1.4.1 24[H3C-Vlan-interface40]quit3．定义时间段[H3C] time-range huawei 8:00 to 18:00 working-day需求1配置（基本ACL配置）1．进入2000号的基本访问控制列表视图[H3C-GigabitEthernet1/0/1] acl number 20002．定义访问规则过滤10.1.1.2主机发出的报文[H3C-acl-basic-2000] rule 1 deny source 10.1.1.2 0 time-range Huawei3．在接口上应用2000号ACL[H3C-acl-basic-2000] interface GigabitEthernet1/0/1[H3C-GigabitEthernet1/0/1] packet-filter inbound ip-group 2000[H3C-GigabitEthernet1/0/1] quit需求2配置（高级ACL配置）1．进入3000号的高级访问控制列表视图[H3C] acl number 30002．定义访问规则禁止研发部门与技术支援部门之间互访[H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.2553．定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器[H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-rangeHuawei[H3C-acl-adv-3000] quit4．在接口上用3000号ACL[H3C-acl-adv-3000] interface GigabitEthernet1/0/2[H3C-GigabitEthernet1/0/2] packet-filter inbound ip-group 3000需求3配置（二层ACL配置）1．进入4000号的二层访问控制列表视图[H3C] acl number 40002．定义访问规则过滤源MAC为00e0-fc01-0101的报文[H3C-acl-ethernetframe-4000] rule 1 deny source 00e0-fc01-0101 ffff-ffff-ffff time-range Huawei3．在接口上应用4000号ACL[H3C-acl-ethernetframe-4000] interface GigabitEthernet1/0/4[H3C-GigabitEthernet1/0/4] packet-filter inbound link-group 40002 H3C 5500-SI 3610 5510系列交换机典型访问控制列表配置需求2配置1．进入3000号的高级访问控制列表视图[H3C] acl number 30002．定义访问规则禁止研发部门与技术支援部门之间互访[H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 3．定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器[H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range Huawei[H3C-acl-adv-3000] quit4．定义流分类[H3C] traffic classifier abc[H3C-classifier-abc]if-match acl 3000[H3C-classifier-abc]quit5．定义流行为，确定禁止符合流分类的报文[H3C] traffic behavior abc[H3C-behavior-abc] filter deny[H3C-behavior-abc] quit6．定义Qos策略，将流分类和流行为进行关联[H3C]qos policy abc[H3C-qospolicy-abc] classifier abc behavior abc[H3C-qospolicy-abc] quit7．在端口下发Qos policy[H3C] interface g1/1/2[H3C-GigabitEthernet1/1/2] qos apply policy abc inbound8．补充说明：l acl只是用来区分数据流，permit与deny由filter确定；l 如果一个端口同时有permit和deny的数据流，需要分别定义流分类和流行为，并在同一QoS策略中进行关联；l QoS策略会按照配置顺序将报文和classifier相匹配，当报文和某一个classifier匹配后，执行该classifier所对应的behavior，然后策略执行就结束了，不会再匹配剩下的classifier；l 将QoS策略应用到端口后，系统不允许对应修改义流分类、流行为以及QoS策略，直至取消下发。

H3C路由器高级ACL配置案例

H3C路由器高级ACL配置案例1. 组网需求禁止计算机通过TELNET登陆到路由器，路由器的Ethernet0/0端口IP为192.168.0.1/24，计算机的IP为192.168.0.2/24。

2. 组网图图1-1 访问控制典型配置举例3. 配置步骤(1) 路由器以太网地址<H3C> system-view[H3C] int e0/0[H3C-interface0/0] ip add 192.168.0.1 24[H3C]user-interface vty 0[H3C-ui-vty0]authentication password[H3C-ui-vty0]set authentication password simple 123456[H3C-ui-vty0]user privilege level 3(2) 定义ACL# 进入ACL3000视图。

[H3C] acl number 3000# 定义访问规则。

[H3C-acl-adv-3000] rule deny tcp source 192.168.0.2 0 destination 192.168.0.1 0 destination-port eq 23[H3C-acl-adv-3000] quit(3) 在路由器上启动防火墙功能[H3C] firewall enable(4) 在端口上应用ACL# 在端口上应用ACL 3000。

[H3C] interface ethernet0/0[H3C-Ethernet0/0] firewall packet-filter 3000 inbound4.测试方法（1）计算机上ping交换机的管理IP：telnet 192.168.0.1 （结果不通）（2）但是把计算机接到交换机的其他端口，如：ethernet1/0/3，则，telnet 192.168.0.1 （结果通）。

H3C交换机典型(ACL)访问控制列表配置实例

H 3 C 交换机典型（ACL ）访问控制列表配置实例一、组网需求：2 •要求配置高级访问控制列表，禁止研发部门与技术支援部门之间互访，并限制研发部门在上班时间至18:00访问工资查询服务器；3 .通过二层访问控制列表，实现在每天8:00〜18:00时间段内对源 MAC 为00e0-fc01-0101 、组网图亠10.1.3.0/24$ 管理部门三、配置步骤：H3C5100系列交换机典型访问控制列表配置共用配置1. 根据组网图，创建四个 vlan ，对应加入各个端口<H3C>system-view[H3C]vla n10 1Q.1 .2 0/24 硏按部门 10,K1.0^410.1.4.2D0e0-f?0l-0303G1/0/2vm ZCG1/OA3YLMT 30技禾支援部门Gl/0/1 VIAH 8:00 的报文进行过滤。

脚本之家UUUJ UJ. 1 .NET[H3C-vla n10]portGigabitEthernet1/0/1 [H3C-vlan10]vlan20 [H3C-vlan20]portGigabitEthernet1/0/2[H3C-vlan20]vlan30 [H3C-vlan30]portGigabitEthernet1/0/3[H3C-vlan30]vlan40[H3C-vlan40]portGigabitEthernet1/0/4[H3C-vlan40]quit2．配置各VLAN 虚接口地址[H3C]interfacevlan10[H3C-Vlan-interface10]ipaddress24[H3C-Vlan-interface10]quit[H3C]interfacevlan20[H3C-Vlan-interface20]ipaddress24[H3C-Vlan-interface20]quit[H3C]interfacevlan30[H3C-Vlan-interface30]ipaddress24[H3C-Vlan-interface30]quit[H3C]interfacevlan40[H3C-Vlan-interface40]ipaddress24[H3C-Vlan-interface40]quit3．定义时间段[H3C]time-rangehuawei8:00to18:00working-day 需求1 配置（基本ACL 配置）1．进入2000 号的基本访问控制列表视图[H3C-GigabitEthernet1/0/1]aclnumber2000 [H3C-acl-basic-2000]rule1denysource0time-rangeHuawei 3．在接口上应用2000 号ACL[H3C-acl-basic-2000]interfaceGigabitEthernet1/0/1[H3C-GigabitEthernet1/0/1]packet-filterinboundip-group2000 [H3C-GigabitEthernet1/0/1]quit需求 2 配置（高级ACL 配置）1．进入3000 号的高级访问控制列表视图[H3C]aclnumber3000 2．定义访问规则禁止研发部门与技术支援部门之间互访[H3C-acl-adv-3000]rule1denyipsourcedestination 3．定义访问规则禁止研发部门在上班时间8:00 至18:00 访问工资查询服务器[H3C-acl-adv-3000]rule2denyipsourceanydestinationtime-rangeHuawei [H3C-acl-adv-3000]quit4．在接口上用3000 号ACL [H3C-acl-adv-3000]interfaceGigabitEthernet1/0/2 [H3C-GigabitEthernet1/0/2]packet-filterinboundip-group3000 需求3 配置（二层ACL 配置）1．进入4000 号的二层访问控制列表视图[H3C]aclnumber40002 .定义访问规则过滤源MAC为OOeO-fcO1-O1O1的报文[H3C-acl-ethernetframe-4000]rule1denysource00e0-fc01-0101ffff-ffff-fffftime-rangeHuawei3.在接口上应用4000 号ACL [H3C-acl-ethernetframe-4000]interfaceGigabitEthernet1/0/4 [H3C-GigabitEthernet1/0/4]packet-filterinboundlink-group40002H3C5500-SI 系列交换机典型访问控制列表配置需求 2 配置1 .进入3000 号的高级访问控制列表视图[H3C]aclnumber30002. 定义访问规则禁止研发部门与技术支援部门之间互访[H3C-acl-adv-3000]rule1denyipsourcedestination3．定义访问规则禁止研发部门在上班时间8:00 至18:00 访问工资查询服务器[H3C-acl-adv-3000]rule2denyipsourceanydestinationtime-rangeHuawei[H3C-acl-adv-3000]quit4．定义流分类[H3C]trafficclassifierabc[H3C-classifier-abc]if-matchacl3000[H3C-classifier-abc]quit5．定义流行为，确定禁止符合流分类的报文[H3C]trafficbehaviorabc[H3C-behavior-abc]filterdeny[H3C-behavior-abc]quit6．定义Qos 策略，将流分类和流行为进行关联[H3C]qospolicyabc[H3C-qospolicy-abc]classifierabcbehaviorabc[H3C-qospolicy-abc]quit7．在端口下发Qospolicy[H3C]interfaceg1/1/2[H3C-GigabitEthernet1/1/2]qosapplypolicyabcinbound8．补充说明：lacl 只是用来区分数据流，permit 与deny 由filter 确定；l 如果一个端口同时有permit 和deny 的数据流，需要分别定义流分类和流行为，并在同一QoS 策略中进行关联；lQoS 策略会按照配置顺序将报文和classifier 相匹配，当报文和某一个classifier 匹配后，执行该classifier 所对应的behavior ，然后策略执行就结束了，不会再匹配剩下的classifier ；l将QoS策略应用到端口后，系统不允许对应修改义流分类、流行为以及QoS 策略，直至取消下发。

H3C访问控制列表（ACL）实例精华

H3C访问控制列表（ACL）实例精华4.访问控制列表（ACL）(1)标准RouterA[H3C]interface e0/0[H3C-ethernet e0/0]ip address 192.168.1.1 255.255.255.0 [H3C]interface e0/1 [H3C-ethernet e0/1]ip address 198.1.1.1 255.255.255.0 [H3C]ospf 2[H3C-ospf2]area 0[H3C-ospf-area0]network 192.168.1.0 0.0.0.255[H3C-ospf-area0]network 198.168.1.0 0.0.0.255[H3C]display ip rout[H3C] firewall enable[H3C]firewall default deny/permit （默认为permit）[H3C]acl number 2000[H3C-acl-2000]rule permit source 192.168.2.0 0.0.0.255[H3C]interface e1[H3C-ui-ethernet1]firewall packet-filter 2000 inbound[H3C]display acl 2000[H3C]undo acl number 2000RouterB[H3C]interface e0/1[H3C-ethernet e0/1]ip address 192.168.2.1 255.255.255.0 [H3C]interface e0/0 [H3C-ethernet e0/0]ip address 198.1.1.2 255.255.255.0 [H3C]ospf 2[H3C-ospf2]area 0[H3C-ospf-area0]network 192.168.2.0 0.0.0.255]network 198.168.1.0 0.0.0.255[H3C]display ip rout(2)扩展RouterA[H3C]interface e0/0[H3C-ethernet e0/0]ip address 192.168.1.1 255.255.255.0[H3C]interface e0/1[H3C-ethernet e0/1]ip address 198.1.1.1 255.255.255.0[H3C]ospf 2[H3C-ospf2]area 0[H3C-ospf-area0]network 192.168.1.0 0.0.0.255]network 198.168.1.0 0.0.0.255[H3C]display ip routRouterB[H3C]interface e0/1[H3C-ethernet e0/1]ip address 192.168.2.1 255.255.255.0[H3C]interface e0/0[H3C-ethernet e0/0]ip address 198.1.1.2 255.255.255.0[H3C]ospf 2[H3C-ospf2]area 0[H3C-ospf-area0]network 192.168.2.0 0.0.0.255]network 198.168.1.0 0.0.0.255[H3C] firewall enable[H3C]firewall default permit[H3C]acl number 3000(3000—3999)[H3C-acl-3000]rule deny icmp source 192.168.2.2 0 desination 192.168.1.2 icmp-type echo ]rule permit ip source any destination any[H3C]interface e0/1[H3C-ethernet0/1]firewall packet-filter 3000 inbound]quit[H3C]display acl all[H3C]display acl 3000[H3C]undo acl number 3000(3)基于VTYRouterA[H3C]interface e0/0[H3C-ethernet e0/0]ip address 192.168.1.1 255.255.255.0[H3C]interface e0/1[H3C-ethernet e0/1]ip address 198.1.1.1 255.255.255.0[H3C]ospf 2[H3C-ospf2]area 0[H3C-ospf-area0]network 192.168.1.0 0.0.0.255]network 198.168.1.0 0.0.0.255[H3C]display ip rout[H3C]firewall enable[H3C]firewall default deny[H3C]acl number 2000[H3C-acl-2000]rule deny source any[H3C]user-interface vty 0 4[H3C-ui-vty0-4]authentication-mode none]user privilege level 3]acl 2000 inbound[H3C]telnet server enable[H3C]display acl alltelnetRouterB[H3C]interface e0/1[H3C-ethernet e0/1]ip address 192.168.2.1 255.255.255.0[H3C]interface e0/0[H3C-ethernet e0/0]ip address 198.1.1.2 255.255.255.0[H3C]ospf 2[H3C-ospf2]area 0[H3C-ospf-area0]network 192.168.2.0 0.0.0.255]network 198.168.1.0 0.0.0.255[H3C]user-interface vty 0 4[H3C-ui-vty0-4]authentication-mode none]user privilege level 3telnet(4)包过滤控制访问列表的功能配置⼀、组⽹需求：在RouterA上对内⽹地址2.2.2.2、24访问外⽹做限制，使其⽆法访问3.3.3.2、24的WEB界⾯⼆、组⽹图：RouterA:[H3C]interface g0/1[H3C-G0/1]ip add 2.2.2.1 255.255.255.0[H3C]interface G0/0[H3C-G0/0]ip add 1.1.1.1 255.255.255.0[H3C]rip[H3C-rip-1]network 2.2.2.0]network 1.1.1.0[H3C]firewall enable使能防⽕墙功能[H3C]firewall default permit配置防⽕墙缺省过滤⽅式为允许包通过定义⽤于包过滤的访问控制的ACL[H3C]acl number 3005[H3C-acl-3005]description deny_souce_ip_www[H3C-acl-3005]rule 0 deny tcp source 2.2.2.2 0 destination-port eq www [H3C-acl-3005]rule 5 permit tcp source 2.2.2.2 0对于inbound流量进⾏过滤[H3C]interface G0/1[H3C-G0/1]firewall packet-filter 3005 inboundRouterB：[H3C]interface G0/0[H3C-G0/0]ip add 1.1.1.2 255.255.255.0[H3C]interface G0/1[H3C-G0/1]ip add 3.3.3.1 255.255.255.0[H3C]rip[H3C-rip-1]network 1.1.1.0]network 3.3.3.0。

h3c acl的配置

brookhe 2008-6-2 14:37
好象是我inbound和outbound概念搞错了是不?
这么写对吗:
acl number 3001
rule deny ip sour 192.168.2.0 0.0.0.255 des 192.168.1.0 0.0.0.255
int e1/0/2(改成源端口)
brookhe 2008-6-2 09:40
请教：S3600-28TP-SI的ACL问题！
我主要是想限制e1/0/2对e1/0/1的通信，端口e1/0/1所在地址是192.168.1.0网段，端口e1/0/2所在地址网段为192.168.2.0；于是写了ACL：
acl number 3001
两种写法在不同端口上是否一样的效果,来个人指点一下谢谢了!!!
rongfei 2008-6-3 09:43
如果两个端口需要通信，你使用交换机是无法实现你的要求的，单向通信只能使用防火墙来实现
packet-filter inbound ip-group 1
那如果在目的端口上这么写对吗:
acl number 3001
rule deny ip sour 192.168.2.0 0.0.0.255 des 192.168.1.0 0.0.0.255
int e1/0/1
packet-filter outbound ip-group 3001
rule deny ip sour 192.168.2.0 0.0.0.255 des 192.168.1.0 0.0.0.255
int e1/0/1
packer-filter inbound ip-group 3001

Cisco ACL原理及配置详解+图例详解

Cisco ACL原理及配置详解什么是ACL？访问控制列表简称为ACL，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持了。

访问控制列表使用原则由于ACL涉及的配置命令很灵活，功能也很强大，所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。

在介绍例子前为大家将ACL设置原则罗列出来，方便各位读者更好的消化ACL知识。

1、最小特权原则只给受控对象完成任务所必须的最小的权限。

也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。

2、最靠近受控对象原则所有的网络层访问权限控制。

也就是说在检查规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。

3、默认丢弃原则在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY，也就是丢弃所有不符合条件的数据包。

这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。

由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。

因此，要达到端到端的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。

标准访问控制列表的格式访问控制列表ACL分很多种，不同场合应用不同种类的ACL。

其中最简单的就是标准访问控制列表，他是通过使用IP包中的源IP地址进行过滤，使用的访问控制列表号1到99来创建相应的ACL。

标准访问控制列表是最简单的ACL。

它的具体格式如下：access-list ACL号 permit|deny host ip地址例如：access-list 10 deny host 192.168.1.1这句命令是将所有来自192.168.1.1地址的数据包丢弃。