访问控制列表典型配置案例

访问控制列表典型配置案例

1.4.1 高级访问控制列表配置案例

1. 组网需求

公司企业网通过switch的百兆端口实现各部门之间的互连。研发部门由ethernet2/1/1端口接入，财经部门的工资查询服务器地址为129.110.1.2。要求正确配置acl，限制研发部门在上班时间8:00至18:00访问工资服务器。

2. 组网图

3. 配置步骤

以下的配置，只列出了与acl配置相关的命令。

(1)定义上班时间段

# 定义8:00至18:00的周期时间段。

[h3c] time-range huawei-3com 8:00 to 18:00 working-day

(2)定义到工资服务器的acl

# 进入基于名字的高级访问控制列表视图，命名为traffic-of-payserver。

[h3c] acl name traffic-of-payserver advanced

# 定义到工资服务器的访问规则。

[h3c-acl-adv-traffic-of-payserver] rule 1 deny ip source any destination 129.110.1.2 0.0.0.0 time-range huawei-3com

(3)激活acl

# 将traffic-of-payserver的acl在研发部门接入的端口上激活。

[h3c-ethernet2/1/1] packet-filter inbound ip-group traffic-of-payserver

1.4.2 基本访问控制列表配置案例

1. 组网需求

通过基本访问控制列表，实现在每天8:00～18:00时间段内对源ip为10.1.1.1主机发出报文的过滤（该主机从交换机的ethernet2/1/1接入）。

2. 组网图

3. 配置步骤

以下的配置，只列出了与acl配置相关的命令。

(1)定义时间段

# 定义8:00～18:00时间段。

[h3c] time-range huawei-3com 8:00 to 18:00 daily

(2)定义源ip为10.1.1.1的acl

# 进入基于名字的基本访问控制列表视图，命名为traffic-of-host。

[h3c] acl name traffic-of-host basic

# 定义源ip为10.1.1.1的访问规则。

[h3c-acl-basic-traffic-of-host] rule 1 deny ip source 10.1.1.1 0 time-range huawei-3com

(3)激活acl

# 将traffic-of-host的acl激活。

[h3c-ethernet2/1/1] packet-filter inbound ip-group traffic-of-host

1.4.3 二层访问控制列表配置案例

1. 组网需求

通过二层访问控制列表，实现在每天8:00～18:00时间段内对源mac为00e0-fc01-0101、目的mac为00e0-fc01-0303的报文的过滤。（在交换机的ethernet2/1/1进行本项配置）

2. 组网图

3. 配置步骤

以下的配置，只列出了与acl配置相关的命令。

(1)定义时间段

# 定义8:00～18:00时间段。

[h3c] time-range huawei-3com 8:00 to 18:00 daily

(2)创建用户自定义流模板

[h3c] flow-template user-defined slot 2 ethernet-protocol smac 0-0-0 dmac 0-0-0

(3)定义源mac为00e0-fc01-0101、目的mac为00e0-fc01-0303的acl

# 进入基于名字的二层访问控制列表视图，命名为traffic-of-link。

[h3c] acl name traffic-of-link link

# 定义源mac为00e0-fc01-0101目的mac为00e0-fc01-0303的流分类规则。

[h3c-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress 00e0-fc01-0303 0-0-0 time-range huawei-3com

[h3c-acl-link-traffic-of-link] quit

(4)在端口下应用用户自定义流模板，并激活acl

# 在端口ethernet2/1/1下应用用户自定义流模板。

[h3c] interface ethernet2/1/1

[h3c-ethernet2/1/1] flow-template user-defined

# 将traffic-of-link的acl在端口下激活。

[h3c-ethernet2/1/1] packet-filter inbound link-group traffic-of-link

1.4.4 bt禁流配置实例

1. 组网需求

bittorrent（比特洪流，简称bt）是一种用来进行文件下载的共享软件，其特点是：下载的人越多，速度越快。bt下载大大降低了下载服务器的负荷，但也造成网络下载的数据量剧增，使得网络带宽被大量的bt下载流量占据，严重影响其它网络业务，由此产生了对bt流量进行有效控制的需求。

本配置任务要求通过配置合适的acl及其子规则，达到禁止bt数据流通过端口ge7/1/8的目的。

lsb1xp4系列单板不支持bt禁流配置。

后缀为da/db/dc的单板不支持bt禁流配置。

2. 组网图

3. 配置步骤

(1)定义用户自定义流模板

[h3c] flow-template user-defined slot 7 ip-protocol bt-flag sip 0.0.0.0 dport

(2)定义高级访问控制列表子规则

[h3c] acl number 3000

[h3c-acl-adv-3000] rule 0 deny tcp bt-flag

[h3c-acl-adv-3000] quit

(3)进入端口ge7/1/8，在端口下配置bt禁流

[h3c] interface gigabitethernet 7/1/8

[h3c-gigabitethernet7/1/8] flow-template user-defined

[h3c-gigabitethernet7/1/8] packet-filter inbound ip-group 3000 rule 0