H3C路由器基本ACL配置案例
ACL命令——H3C交换机(基本ACL)
ACL命令——H3C交换机(基本ACL)展开全文ACL命令——H3C交换机(基本ACL)1、acl命令用于创建一条ACL,并进入相应的ACL视图。
undo acl命令用于删除指定的ACL,或者删除全部ACL。
ACL支持两种匹配顺序,如下所示:1、配置顺序:根据配置顺序匹配ACL规则。
2、自动排序:根据“深度优先”规则匹配ACL规则。
“深度优先”规则说明如下:1、基本ACL的深度优先以源IP地址掩码长度排序,掩码越长的规则位置越靠前。
排序时比较源IP地址掩码长度,若源IP地址掩码长度相等,则先配置的规则匹配位置靠前。
例如,源IP地址掩码为255.255.255.0的规则比源IP地址掩码为255.255.0.0的规则匹配位置靠前。
2、高级ACL的深度优先以源IP地址掩码和目的IP地址掩码长度排序,掩码越长的规则位置越靠前。
排序时先比较源IP地址掩码长度,若源IP地址掩码长度相等,则比较目的IP地址掩码长度;若目的IP地址掩码长度也相等,则先配置的规则匹配位置靠前。
例如,源IP 地址掩码长度相等时,目的IP地址掩码为255.255.255.0的规则比目的IP地址掩码为255.255.0.0的规则匹配位置靠前。
可以使用match-order指定匹配顺序是按照用户配置的顺序还是按照深度优先顺序(优先匹配范围小的规则),如果不指定则缺省为用户配置顺序。
用户一旦指定一条ACL的匹配顺序后,就不能再更改,除非把该ACL规则全部删除,再重新指定其匹配顺序。
ACL的匹配顺序特性只在该ACL被软件引用进行数据过滤和分类时有效。
【举例】# 定义ACL 2000的规则,并定义规则匹配顺序为深度优先顺序。
<H3C> system-viewSystem View: return to User View with Ctrl+Z.[H3C] acl number 2000 match-order auto[H3C-acl-basic-2000]2、description命令用来定义ACL的描述信息,描述该ACL的具体用途。
H3C的ACL设置
用户的需求:内网部分主机在特定时间段不能上网,但可以在内网间互访1.创建时间段test创建时间段完成后状态如下:2创建ipv4 acl限制内网的主机ip(192.168.1.2)在上班时间段test 内不能上网(其他ip以此类推举,均在3009和3010中配置;不同点仅在于“高级配置”中的“规则ID”数字不同):创建3009访问控制列表:点击应用后的状态点击“高级配置”配置3009的具体规则:点击“添加”完成3009的规则ID 0的配置(该规则用来允许用户内网间互访)创建3010访问控制列表:点击应用后的状态点击“高级配置”配置3010的具体规则:点击“添加”完成3010的规则ID 0的配置(该规则用来禁止用户上外网)3创建类引用刚才创建的acl:点击创建后的状态点击“设置”引用刚才创建的访问控制列表3009点击应用完成类(test)的设置,如点击应用后出现如下提示则代表设置成功,只需点击提示信息的“关闭”即可创建引用3010的规则的“类”:点击创建完成创建点击“设置”引用刚才创建的访问控制列表3010置成功,只需点击提示信息的“关闭”即可4.创建“流行为”指定对于上面的“类”的控制动作:点击创建完成“test”的创建。
选择“设置”设备对应“类(test)”的流行为为“permit”,即允许符合该类的用户通过“关闭即可”创建流行为“test1”点击创建完成“test1”的创建。
选择“设置”设备对应“类(test1)”的流行为为“Deny”,即拒绝符合该类的用户通过“关闭即可”5.创建“策略”关联已创建的“类”与“流行为”点击“创建”完成test创建点击“设置”关联已创建的“类”与“流行为”点击“应用”关联类(test)与流行为(test)6.设置“端口策略”应用之前创建的策略点击“应用”完成最终设置,出现如下提示点击“关闭”。
H3C 访问控制列表 acl配置文件
IPv4 ACL典型配置举例1.1.1 组网需求●公司企业网通过交换机Switch实现各部门之间的互连。
●要求正确配置IPv4 ACL,禁止研发部门和市场部门在上班时间(8:00至18:00)访问工资查询服务器(IP地址为192.168.4.1),而总裁办公室不受限制,可以随时访问。
1.1.2 组网图图1-1配置IPv4 ACL组网图总裁办公室192.168.1.0/24192.168.2.0/24192.168.3.0/241.1.3 配置步骤(1) 定义上班时间段# 定义8:00至18:00的周期时间段。
<Switch> system-view[Switch] time-range trname 8:00 to 18:00 working-day(2) 定义到工资查询服务器的IPv4 ACL# 定义研发部门到工资查询服务器的访问规则。
[Switch] acl number 3000[Switch-acl-adv-3000] rule deny ip source 192.168.2.0 0.0.0.255 destination 192.168.4.1 0.0.0.0 time-range trname[Switch-acl-adv-3000] quit# 定义市场部门到工资查询服务器的访问规则。
[Switch] acl number 3001[Switch-acl-adv-3001] rule deny ip source 192.168.3.0 0.0.0.255 destination 192.168.4.1 0.0.0.0 time-range trname[Switch-acl-adv-3001] quit(3) 应用IPv4 ACL# 定义类c_rd,对匹配IPv4 ACL 3000的报文进行分类。
[Switch] traffic classifier c_rd[Switch-classifier-c_rd] if-match acl 3000[Switch-classifier-c_rd] quit# 定义流行为b_rd,动作为拒绝报文通过。
H3C ACL和Cisco ACL 配置案例
H3C核心交换:一.组网图:二.组网需求:1.通过配置基本访问控制列表,实现在每天8:00~18:00时间段内对源IP为10.1.1.2主机发出报文的过滤;2.要求配置高级访问控制列表,禁止研发部门与技术支援部门之间互访,并限制研发部门在上班时间8:00至18:00访问工资查询服务器;3.通过二层访问控制列表,实现在每天8:00~18:00时间段内对源MAC为00e0-fc01-0101的报文进行过滤。
三.配置步骤:H3C 3600 5600 5100系列交换机典型访问控制列表配置共用配置1.根据组网图,创建四个vlan,对应加入各个端口<H3C>system-view[H3C]vlan 10 [H3C-vlan10]port GigabitEthernet 1/0/1 [H3C-vlan10]vlan 10 [H3C-vlan20]port GigabitEthernet 1/0/2 [H3C-vlan20]vlan 20 [H3C-vlan20]port GigabitEthernet 1/0/3 [H3C-vlan20]vlan 30 [H3C-vlan30]port GigabitEthernet 1/0/3 [H3C-vlan30]vlan 40 [H3C-vlan40]port GigabitEthernet 1/0/4[H3C-vlan40]quit2.配置各VLAN虚接口地址[H3C]interface vlan 10 [H3C-Vlan-interface10]ip address 10.1.1.1 24 [H3C-Vlan-interface10]quit[H3C]interface vlan 20 [H3C-Vlan-interface20]ip address 10.1.2.1 24 [H3C-Vlan-interface20]quit[H3C]interface vlan 30 [H3C-Vlan-interface30]ip address 10.1.3.1 24 [H3C-Vlan-interface30]quit[H3C]interface vlan 40 [H3C-Vlan-interface40]ip address 10.1.4.1 24 [H3C-Vlan-interface40]quit3.定义时间段[H3C] time-range huawei 8:00 to 18:00 working-day需求1配置(基本ACL配置)1.进入2000号的基本访问控制列表视图[H3C-GigabitEthernet1/0/1] acl number 20002.定义访问规则过滤10.1.1.2主机发出的报文[H3C-acl-basic-2000] rule 1 deny source 10.1.1.2 0 time-range Huawei3.在接口上应用2000号ACL[H3C-acl-basic-2000] interface GigabitEthernet1/0/1[H3C-GigabitEthernet1/0/1] packet-filter inbound ip-group 2000[H3C-GigabitEthernet1/0/1] quit需求2配置(高级ACL配置)1.进入3000号的高级访问控制列表视图[H3C] acl number 30002.定义访问规则禁止研发部门与技术支援部门之间互访[H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination10.1.1.0 0.0.0.2553.定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器[H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.20.0.0.0 time-range Huawei[H3C-acl-adv-3000] quit4.在接口上用3000号ACL[H3C-acl-adv-3000] interface GigabitEthernet1/0/2[H3C-GigabitEthernet1/0/2] packet-filter inbound ip-group 3000需求3配置(二层ACL配置)1.进入4000号的二层访问控制列表视图[H3C] acl number 40002.定义访问规则过滤源MAC为00e0-fc01-0101的报文[H3C-acl-ethernetframe-4000] rule 1 deny source 00e0-fc01-0101ffff-ffff-ffff time-range Huawei3.在接口上应用4000号ACL[H3C-acl-ethernetframe-4000] interface GigabitEthernet1/0/4[H3C-GigabitEthernet1/0/4] packet-filter inbound link-group 4000H3C 5500-SI 3610 5510系列交换机典型访问控制列表配置需求2配置1.进入3000号的高级访问控制列表视图[H3C] acl number 30002.定义访问规则禁止研发部门与技术支援部门之间互访[H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.2553.定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器[H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range Huawei[H3C-acl-adv-3000] quit4.定义流分类[H3C] traffic classifier abc[H3C-classifier-abc]if-match acl 3000[H3C-classifier-abc]quit5.定义流行为,确定禁止符合流分类的报文[H3C] traffic behavior abc[H3C-behavior-abc] filter deny[H3C-behavior-abc] quit6.定义Qos策略,将流分类和流行为进行关联[H3C]qos policy abc[H3C-qospolicy-abc] classifier abc behavior abc[H3C-qospolicy-abc] quit7.在端口下发Qos policy[H3C] interface g1/1/2[H3C-GigabitEthernet1/1/2] qos apply policy abc inbound8.补充说明:~~acl只是用来区分数据流,permit与deny由filter确定;~~如果一个端口同时有permit和deny的数据流,需要分别定义流分类和流行为,并在同一QoS策略中进行关联;~~QoS策略会按照配置顺序将报文和classifier相匹配,当报文和某一个classifier匹配后,执行该classifier所对应的behavior,然后策略执行就结束了,不会再匹配剩下的classifier;~~将QoS策略应用到端口后,系统不允许对应修改义流分类、流行为以及QoS策略,直至取消下发。
H3C配置命令24-acl命令
i
H3C S7500 系列以太网交换机 命令手册 ACL
第1章 ACL 命令
第 1 章 ACL 命令
1.1 ACL 命令
说明: A 型业务板指如下业务板:LS81FT48A、LS81FM24A、LS81FS24A、LS81GB8UA、 LS81GT8UA。
1.1.1 acl
【命令】 acl { number acl-number | name acl-name [ advanced | basic | link | user ] } [ match-order { config | auto } ] undo acl { number acl-number | name acl-name | all }
【命令】
display acl config { all | acl-number | acl-name }
【视图】
任意视图
【参数】
all:显示所有的 ACL(包括数字标识的和名字标识的)。 acl-number:ACL 序号,2000 到 5999 之间的一个数值。 acl-name:ACL 名字,最多 32 个字符,必须以英文字母(即[a-z,A-Z])开始,而 且中间不能有空格和引号;不区分大小写,不允许使用关键字 all。
【命令】 acl order { auto | first-config-first-match | last-config-first-match }
【视图】 系统视图
【参数】 auto:指定下发的 ACL 规则按深度优先原则生效。 first-config-first-match:指定下发的 ACL 规则按下发顺序生效,先下发的先生效。 last-config-first-match:指定下发的 ACL 规则按下发顺序生效,后下发的先生效。
H3C交换机典型ACL访问控制列表配置教程
H3C交换机典型ACL访问控制列表配置教程交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。
交换机还具备了一些新的功能,如对VLAN(虚拟局域网)的支持、对链路汇聚的支持,甚至有的还具有防火墙的功能。
对于ACL,可能很多用户还不熟悉怎么设置,本文将介绍如何配置H3C交换机典型(ACL)访问控制列表,需要的朋友可以参考下配置步骤:H3C 3600 5600 5100系列交换机典型访问控制列表配置共用配置1.根据组网图,创建四个vlan,对应加入各个端口system-view[H3C]vlan 10[H3C-vlan10]port GigabitEthernet 1/0/1[H3C-vlan10]vlan 20[H3C-vlan20]port GigabitEthernet 1/0/2[H3C-vlan20]vlan 30[H3C-vlan30]port GigabitEthernet 1/0/3[H3C-vlan30]vlan 40[H3C-vlan40]port GigabitEthernet 1/0/4[H3C-vlan40]quit2.配置各VLAN虚接口地址[H3C]interface vlan 10[H3C-Vlan-interface10]ip address 10.1.1.1 24[H3C-Vlan-interface10]quit[H3C]interface vlan 20[H3C-Vlan-interface20]ip address 10.1.2.1 24[H3C-Vlan-interface20]quit[H3C]interface vlan 30[H3C-Vlan-interface30]ip address 10.1.3.1 24[H3C-Vlan-interface30]quit[H3C]interface vlan 40[H3C-Vlan-interface40]ip address 10.1.4.1 24[H3C-Vlan-interface40]quit3.定义时间段[H3C] time-range huawei 8:00 to 18:00 working-day需求1配置(基本ACL配置)1.进入2000号的基本访问控制列表视图[H3C-GigabitEthernet1/0/1] acl number 20002.定义访问规则过滤10.1.1.2主机发出的报文[H3C-acl-basic-2000] rule 1 deny source 10.1.1.2 0 time-range Huawei3.在接口上应用2000号ACL[H3C-acl-basic-2000] interface GigabitEthernet1/0/1[H3C-GigabitEthernet1/0/1] packet-filter inbound ip-group 2000[H3C-GigabitEthernet1/0/1] quit需求2配置(高级ACL配置)1.进入3000号的高级访问控制列表视图[H3C] acl number 30002.定义访问规则禁止研发部门与技术支援部门之间互访[H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.2553.定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器[H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range Huawei[H3C-acl-adv-3000] quit4.在接口上用3000号ACL[H3C-acl-adv-3000] interface GigabitEthernet1/0/2[H3C-GigabitEthernet1/0/2] packet-filter inbound ip-group 3000需求3配置(二层ACL配置)1.进入4000号的二层访问控制列表视图[H3C] acl number 40002.定义访问规则过滤源MAC为00e0-fc01-0101的报文[H3C-acl-ethernetframe-4000] rule 1 deny source 00e0-fc01-0101 ffff-ffff-ffff time-range Huawei3.在接口上应用4000号ACL[H3C-acl-ethernetframe-4000] interface GigabitEthernet1/0/4[H3C-GigabitEthernet1/0/4] packet-filter inbound link-group 40002 H3C 5500-SI 3610 5510系列交换机典型访问控制列表配置需求2配置1.进入3000号的高级访问控制列表视图[H3C] acl number 30002.定义访问规则禁止研发部门与技术支援部门之间互访[H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.2553.定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器[H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range Huawei[H3C-acl-adv-3000] quit4.定义流分类[H3C] traffic classifier abc[H3C-classifier-abc]if-match acl 3000[H3C-classifier-abc]quit5.定义流行为,确定禁止符合流分类的报文[H3C] traffic behavior abc[H3C-behavior-abc] filter deny[H3C-behavior-abc] quit6.定义Qos策略,将流分类和流行为进行关联[H3C]qos policy abc[H3C-qospolicy-abc] classifier abc behavior abc[H3C-qospolicy-abc] quit7.在端口下发Qos policy[H3C] interface g1/1/2[H3C-GigabitEthernet1/1/2] qos apply policy abc inbound8.补充说明:l acl只是用来区分数据流,permit与deny由filter确定;l 如果一个端口同时有permit和deny的数据流,需要分别定义流分类和流行为,并在同一QoS策略中进行关联;l QoS策略会按照配置顺序将报文和classifier相匹配,当报文和某一个classifier匹配后,执行该classifier所对应的behavior,然后策略执行就结束了,不会再匹配剩下的classifier;l 将QoS策略应用到端口后,系统不允许对应修改义流分类、流行为以及QoS策略,直至取消下发。
H3C华为交换机ACL基本配置
H3C华为交换机ACL基本配置字体: 小中大| 打印发表于: 2007-8-23 19:53 作者: woyao 来源: OSPF社区空间1,二层ACL. 组网需求:通过二层访问控制列表,实现在每天8:00~18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。
该主机从GigabitEthernet0/1接入。
.配置步骤:(1)定义时间段# 定义8:00至18:00的周期时间段。
[Quidway] time-range huawei 8:00 to 18:00 daily(2)定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL# 进入基于名字的二层访问控制列表视图,命名为traffic-of-link。
[Quidway] acl name traffic-of-link link# 定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则。
[Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress00e0-fc01-0303 0-0-0 time-range huawei(3)激活ACL。
# 将traffic-of-link的ACL激活。
[Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link2,三层ACLa)基本访问控制列表配置案例. 组网需求:通过基本访问控制列表,实现在每天8:00~18:00时间段内对源IP为10.1.1.1主机发出报文的过滤。
该主机从GigabitEthernet0/1接入。
.配置步骤:(1)定义时间段# 定义8:00至18:00的周期时间段。
[Quidway] time-range huawei 8:00 to 18:00 daily(2)定义源IP为10.1.1.1的ACL# 进入基于名字的基本访问控制列表视图,命名为traffic-of-host。
H3C(华三)_ACL和QoS 配置指导
H3C、
、Aolynk、
、H3Care、
、TOP G、
、IRF、NetPilot、Neocean、
NeoVTL、SecPro、SecPoint、SecEngine、SecPath、Comware、Secware、Storware、NQA、 VVG、V2G、VnG、PSPT、XGbus、N-Bus、TiGem、InnoVision、HUASAN、华三均为杭州华三
3.各类标志 本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方,这些标志的意义如下:
该标志后的注释需给予格外关注,不当的操作可能会对人身造成伤害。 提醒操作中应注意的事项,不当的操作可能会导致数据丢失或者设备损坏。 为确保设备配置成功或者正常工作而需要特别关注的操作或信息。 对操作内容的描述进行必要的补充和说明。 配置、操作、或使用设备的技巧、小窍门。
您可以通过H3C网站()获取最新的产品资料: H3C 网站与产品资料相关的主要栏目介绍如下: z [服务支持/文档中心]:可以获取硬件安装类、软件升级类、配置类或维护类等产品资料。 z [产品技术]:可以获取产品介绍和技术介绍的文档,包括产品相关介绍、技术介绍、技术白皮
书等。 z [解决方案]:可以获取解决方案类资料。 z [服务支持/软件下载]:可以获取与软件版本配套的资料。
读者对象
本手册主要适用于如下工程师: z 网络规划人员 z 现场技术支持与维护人员 z 负责网络配置和维护的网络管理员
本书约定
1.命令行格式约定
格式
意义
粗体
命令行关键字(命令中保持不变、必须照输的部分)采用加粗字体表示。
H3C交换机典型ACL访问控制列表配置教程
H3C交换机典型ACL访问控制列表配置教程交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。
交换机还具备了一些新的功能,如对VLAN(虚拟局域网)的支持、对链路汇聚的支持,甚至有的还具有防火墙的功能。
对于ACL,可能很多用户还不熟悉怎么设置,本文将介绍如何配置H3C交换机典型(ACL)访问控制列表,需要的朋友可以参考下配置步骤:H3C 3600 5600 5100系列交换机典型访问控制列表配置共用配置1.根据组网图,创建四个vlan,对应加入各个端口system-view[H3C]vlan 10[H3C-vlan10]port GigabitEthernet 1/0/1[H3C-vlan10]vlan 20[H3C-vlan20]port GigabitEthernet 1/0/2[H3C-vlan20]vlan 30[H3C-vlan30]port GigabitEthernet 1/0/3[H3C-vlan30]vlan 40[H3C-vlan40]port GigabitEthernet 1/0/4[H3C-vlan40]quit2.配置各VLAN虚接口地址[H3C]interface vlan 10[H3C-Vlan-interface10]ip address 10.1.1.1 24[H3C-Vlan-interface10]quit[H3C]interface vlan 20[H3C-Vlan-interface20]ip address 10.1.2.1 24[H3C-Vlan-interface20]quit[H3C]interface vlan 30[H3C-Vlan-interface30]ip address 10.1.3.1 24[H3C-Vlan-interface30]quit[H3C]interface vlan 40[H3C-Vlan-interface40]ip address 10.1.4.1 24[H3C-Vlan-interface40]quit3.定义时间段[H3C] time-range huawei 8:00 to 18:00 working-day需求1配置(基本ACL配置)1.进入2000号的基本访问控制列表视图[H3C-GigabitEthernet1/0/1] acl number 20002.定义访问规则过滤10.1.1.2主机发出的报文[H3C-acl-basic-2000] rule 1 deny source 10.1.1.2 0 time-range Huawei3.在接口上应用2000号ACL[H3C-acl-basic-2000] interface GigabitEthernet1/0/1[H3C-GigabitEthernet1/0/1] packet-filter inbound ip-group 2000[H3C-GigabitEthernet1/0/1] quit需求2配置(高级ACL配置)1.进入3000号的高级访问控制列表视图[H3C] acl number 30002.定义访问规则禁止研发部门与技术支援部门之间互访[H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.2553.定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器[H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range Huawei[H3C-acl-adv-3000] quit4.在接口上用3000号ACL[H3C-acl-adv-3000] interface GigabitEthernet1/0/2[H3C-GigabitEthernet1/0/2] packet-filter inbound ip-group 3000需求3配置(二层ACL配置)1.进入4000号的二层访问控制列表视图[H3C] acl number 40002.定义访问规则过滤源MAC为00e0-fc01-0101的报文[H3C-acl-ethernetframe-4000] rule 1 deny source 00e0-fc01-0101 ffff-ffff-ffff time-range Huawei3.在接口上应用4000号ACL[H3C-acl-ethernetframe-4000] interface GigabitEthernet1/0/4[H3C-GigabitEthernet1/0/4] packet-filter inbound link-group 40002 H3C 5500-SI 3610 5510系列交换机典型访问控制列表配置需求2配置1.进入3000号的高级访问控制列表视图[H3C] acl number 30002.定义访问规则禁止研发部门与技术支援部门之间互访[H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.2553.定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器[H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range Huawei[H3C-acl-adv-3000] quit4.定义流分类[H3C] traffic classifier abc[H3C-classifier-abc]if-match acl 3000[H3C-classifier-abc]quit5.定义流行为,确定禁止符合流分类的报文[H3C] traffic behavior abc[H3C-behavior-abc] filter deny[H3C-behavior-abc] quit6.定义Qos策略,将流分类和流行为进行关联[H3C]qos policy abc[H3C-qospolicy-abc] classifier abc behavior abc[H3C-qospolicy-abc] quit7.在端口下发Qos policy[H3C] interface g1/1/2[H3C-GigabitEthernet1/1/2] qos apply policy abc inbound8.补充说明:l acl只是用来区分数据流,permit与deny由filter确定;l 如果一个端口同时有permit和deny的数据流,需要分别定义流分类和流行为,并在同一QoS策略中进行关联;l QoS策略会按照配置顺序将报文和classifier相匹配,当报文和某一个classifier匹配后,执行该classifier所对应的behavior,然后策略执行就结束了,不会再匹配剩下的classifier;l 将QoS策略应用到端口后,系统不允许对应修改义流分类、流行为以及QoS策略,直至取消下发。
h3c配置命令-ACL命令
1 ACL 配置命令
1.1 公共配置命令
1.1.1 display time-range
【命令】 display time-range { time-range-name | all }
【视图】 任意视图
【缺省级别】 1:监控级
【参数】 time-range-name:时间段的名称,为 1~32 个字符的字符串,不区分大小写,必须以英文字母 a~ z 或 A~Z 开头。为避免混淆,时间段的名字不可以使用英文单词 all。 all:所有配置的时间段。
1-2
z 如果用户通过命令 time-range time-range-name { from time1 date1 [ to time2 date2 ] | to time2 date2 }定义了一个绝对时间段,则只有系统时钟在该绝对时间段内,该时间段才进入激 活状态。
z 如果用户通过命令 time-range time-range-name start-time to end-time days { from time1 date1 [ to time2 date2 ] | to time2 date2 }同时定义了绝对时间段和周期时间段,则只有系统 时钟同时满足绝对时间段和周期时间段的定义时,该时间段才进入激活状态。例如,一个时 间段定义了绝对时间段:从 2004 年 1 月 1 日 0 点 0 分到 2004 年 12 月 31 日 23 点 59 分,同 时定义了周期时间段:每周三的 12:00 到 14:00。该时间段只有在 2004 年内每周三的 12:00 到 14:00 才进入激活状态。
1.1.2 time-range
【命令】 time-range time-range-name { start-time to end-time days [ from time1 date1 ] [ to time2 date2 ] | from time1 date1 [ to time2 date2 ] | to 命令用来定义一个时间段,描述一个时间范围。undo time-range 命令用来删除一个 时间段。 对时间段的配置有如下两种情况:
H3C交换机典型(ACL)访问控制列表配置实例
H3C交换机典型(ACL)访问控制列表配置实例一、组网需求:1.通过配置基本访问控制列表,实现在每天8:00~18:00时间段内对源IP为10.1.1.2主机发出报文的过滤;2.要求配置高级访问控制列表,禁止研发部门与技术支援部门之间互访,并限制研发部门在上班时间8:00至18:00访问工资查询服务器;3.通过二层访问控制列表,实现在每天8:00~18:00时间段内对源MAC为00e0-fc01-0101的报文进行过滤。
二、组网图:三、配置步骤:H3C 3600 5600 5100系列交换机典型访问控制列表配置共用配置1.根据组网图,创建四个vlan,对应加入各个端口<H3C>system-view[H3C]vlan 10[H3C-vlan10]port GigabitEthernet 1/0/1[H3C-vlan10]vlan 20[H3C-vlan20]port GigabitEthernet 1/0/2[H3C-vlan20]vlan 30[H3C-vlan30]port GigabitEthernet 1/0/3[H3C-vlan30]vlan 40[H3C-vlan40]port GigabitEthernet 1/0/4[H3C-vlan40]quit2.配置各VLAN虚接口地址[H3C]interface vlan 10[H3C-Vlan-interface10]ip address 10.1.1.1 24 [H3C-Vlan-interface10]quit[H3C]interface vlan 20[H3C-Vlan-interface20]ip address 10.1.2.1 24 [H3C-Vlan-interface20]quit[H3C]interface vlan 30[H3C-Vlan-interface30]ip address 10.1.3.1 24 [H3C-Vlan-interface30]quit[H3C]interface vlan 40[H3C-Vlan-interface40]ip address 10.1.4.1 24 [H3C-Vlan-interface40]quit3.定义时间段[H3C] time-range huawei 8:00 to 18:00 working-day需求1配置(基本ACL配置)1.进入2000号的基本访问控制列表视图[H3C-GigabitEthernet1/0/1] acl number 20002.定义访问规则过滤10.1.1.2主机发出的报文[H3C-acl-basic-2000] rule 1 deny source 10.1.1.2 0 time-range Huawei3.在接口上应用2000号ACL[H3C-acl-basic-2000] interface GigabitEthernet1/0/1[H3C-GigabitEthernet1/0/1] packet-filter inbound ip-group 2000[H3C-GigabitEthernet1/0/1] quit需求2配置(高级ACL配置)1.进入3000号的高级访问控制列表视图[H3C] acl number 30002.定义访问规则禁止研发部门与技术支援部门之间互访[H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.2553.定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器[H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time -range Huawei[H3C-acl-adv-3000] quit4.在接口上用3000号ACL[H3C-acl-adv-3000] interface GigabitEthernet1/0/2[H3C-GigabitEthernet1/0/2] packet-filter inbound ip-group 3000需求3配置(二层ACL配置)1.进入4000号的二层访问控制列表视图[H3C] acl number 40002.定义访问规则过滤源MAC为00e0-fc01-0101的报文[H3C-acl-ethernetframe-4000] rule 1 deny source 00e0-fc01-0101 ffff-ffff-ffff time-r ange Huawei3.在接口上应用4000号ACL[H3C-acl-ethernetframe-4000] interface GigabitEthernet1/0/4[H3C-GigabitEthernet1/0/4] packet-filter inbound link-group 40002 H3C 5500-SI 3610 5510系列交换机典型访问控制列表配置需求2配置1.进入3000号的高级访问控制列表视图[H3C] acl number 30002.定义访问规则禁止研发部门与技术支援部门之间互访[H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.2553.定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器[H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time -range Huawei[H3C-acl-adv-3000] quit4.定义流分类[H3C] traffic classifier abc[H3C-classifier-abc]if-match acl 3000[H3C-classifier-abc]quit5.定义流行为,确定禁止符合流分类的报文[H3C] traffic behavior abc[H3C-behavior-abc] filter deny[H3C-behavior-abc] quit6.定义Qos策略,将流分类和流行为进行关联[H3C]qos policy abc[H3C-qospolicy-abc] classifier abc behavior abc[H3C-qospolicy-abc] quit7.在端口下发Qos policy[H3C] interface g1/1/2[H3C-GigabitEthernet1/1/2] qos apply policy abc inbound8.补充说明:l acl只是用来区分数据流,permit与deny由filter确定;l 如果一个端口同时有permit和deny的数据流,需要分别定义流分类和流行为,并在同一QoS策略中进行关联;l QoS策略会按照配置顺序将报文和classifier相匹配,当报文和某一个classifier匹配后,执行该classifier所对应的behavior,然后策略执行就结束了,不会再匹配剩下的classif ier;l 将QoS策略应用到端口后,系统不允许对应修改义流分类、流行为以及QoS策略,直至取消下发。
H3C+ACL典型配置案例
H3C ACL典型配置案例(1) 定义时间段#定义8:00至18:00的周期时间段。
<H3C> system-view[H3C] time-range test8:00 to 18:00working-day(2) 定义到工资服务器的ACL#进入ACL 3000视图。
[H3C] acl number 3000#定义研发部门到工资服务器的访问规则。
[H3C-acl-adv-3000] rule 1 deny ip destination 192.168.1.2 0 time-range test[H3C-acl-adv-3000] quit(3) 在端口上应用ACL#在Ethernet 1/0/1端口上应用ACL 3000。
[H3C] interface Ethernet1/0/1[H3C-Ethernet1/0/1] qos[H3C-qoss-Ethernet1/0/1] packet-filter inbound ip-group 3000(1) 定义时间段#定义8:00至18:00的周期时间段。
<H3C> system-view[H3C] time-range test8:00 to 18:00daily(2) 定义源MAC为000f-e20f-0101目的MAC为000f-e20f-0303的ACL规则#进入ACL 4000视图[H3C] acl number 4000#定义源MAC为000f-e20f-0101目的MAC为000f-e20f-0303的流分类规则。
[H3C-acl-ethernetframe-4000] rule 1 deny ingress 000f-e20f-0101 ffff-ffff-ffff egress 000f-e20f-0303 ffff-ffff-ffff time-range test[H3C-acl-ethernetframe-4000] quit(3) 在端口上应用ACL#在Ethernet 1/0/1端口上应用ACL 4000。
H3C路由器配置实例
[MSR20-20]aclnumber3000[MSR20-20-acl-adv-3000]rule0permitip4、配置外网接口( Ethernet0/1 )[MSR20-20]interfaceEthernet0/1[MSR20-20-Ethernet0/1]ipadd 公网IP[MSR20-20-Ethernet0/1]natoutbound3000address-group15.加默缺省路由[MSR20-20]route-stac 外网网关总结:在2020路由器下面,配置外网口,配置内网口,配置acl 作nat,一条默认路由指向电信网关.ok!Console登陆认证功能的配置要点词:MSR;console;一、组网需求:要求用户从console登录时输入已配置的用户名h3c和对应的口令h3c,用户名和口令正确才能登录成功。
二、组网图:三、配置步骤:设备和版本:MSR系列、version,R1508P02RTA要点配置脚本#3c3c3c3c3c3crule1deny#interfaceGigabitEthernet0/0 portlink-moderoute四、配置要点点:1)地址池要连续;2)在出接口做变换;3)默认路由一般要配置。
DHCPSERVER功能的配置要点字:MSR;DHCP;基础配置一、组网需求:MSR1作为DHCP服务器为网段中的客户端动向分配IP地址,该地址池网段分为两个子网网段:和。
路由器的两个以太网接口G0/0和G0/1的地址分别为和。
网段内的地址租用限时为10天12小时,域名为3c,DNS服务器地址为,NBNS 服务器地址为,出口网关的地址为。
网段内的地址租用限时为5天,域名为3c,DNS服务器地址为,无NBNS服务器地址,出口网关的地址为。
设备清单:PC两台、MSR系列路由器1台二、组网图:三、配置步骤:适用设备和版本:MSR系列、Version,Release1508P02MSR1配置#maskdomain-name3c#masknbns-list expiredday10hour12 #maskexpiredday5#interfaceGigabitEthernet0/0portlink-moderouteipaddressGigabitEthernet0/1portlink-moderouteipaddress 禁止服务器地址参加自动分配dhcpserverp 使能DHCP服务功能dhcpenable#四、配置要点点:子地址池1、2的范围要在父地址池0里面。
H3C HUAWEI acl经典配置经典配置ACL较全
rule 147 deny tcp destination-port eq 31339
rule 148 deny tcp destination-port eq 31789
rule 149 deny tcp destination-port eq 40412
rule 134 deny tcp destination-port eq 7306
rule 135 deny tcp destination-port eq 7308
rule 136 deny tcp destination-port eq 7511
rule 137 deny tcp destination-port eq 7626
rule 75 deny tcp destination-port eq 1068
rule 76 deny tcp destination-port eq 1243
rule 77 deny tcp destination-port eq 1978
rule 78 deny tcp destination-port eq 1999
rule 51 deny udp destination-port eq netbios-ssn
rule 61 deny udp destination-port eq tftp
rule 62 deny tcp destination-port eq 389
rule 63 deny tcp destination-port eq 539
rule 41 deny udp destination-port eq 138
h3c路由器配置案例
h3c路由器配置案例#version 5.20, ESS 1807#sysname Navigator#l2tp enable#tcp syn-cookie enabletcp anti-naptha enabletcp state closing connection-number 500tcp state established connection-number 500tcp state fin-wait-1 connection-number 500tcp state fin-wait-2 connection-number 500tcp state last-ack connection-number 500tcp state syn-received connection-number 500#info-center source default channel 2 log level errors info-center source default channel 9 log level errors #domain default enable rzglj.vpdn.sd#dns resolvedns proxy enabledns server 219.146.1.66#telnet server enable#dar p2p signature-file flash:/p2p_default.mtdport-security enable#ip http acl 199#acl number 199rule 65534 permit#vlan 1#radius scheme rzteleprimary authentication *.*.*.* 1645 primary accounting *.*.*.* 1646key authentication 1231key accounting 1231#domain *.vpdn.sdauthentication ppp radius-scheme rztele authorization ppp radius-scheme rztele accounting ppp radius-scheme rztele access-limit disablestate activeidle-cut disableself-service-url disableip pool 1 10.0.0.2 10.0.0.254domain systemaccess-limit disablestate activeidle-cut disableself-service-url disablepki domain navigatorcrl check disable#pki domain tr069_vpn_domcrl check disable#ike proposal 1encryption-algorithm 3des-cbcdh group2#ike peer navigatorpre-shared-key cipher AD1LqehiOrugHKZPCChabQ== #ipsec proposal navigatorencapsulation-mode transportesp authentication-algorithm sha1esp encryption-algorithm 3des#ipsec proposal navigator1esp authentication-algorithm sha1esp encryption-algorithm 3des#ipsec policy-template gateway 1ike-peer navigatorproposal navigator navigator1#ipsec policy navigator 1 isakmp template gateway#dhcp server ip-pool vlan1 extendeduser-group system#local-user telecomadminpassword cipher QQB<1!!authorization-attribute level 3service-type telnetlocal-user useradminpassword cipher (@KW6^>_R%UH;C/!R%=1I authorization-attribute level 3service-type telnet#wlan rrmdot11b mandatory-rate 1 2dot11b supported-rate 5.5 11dot11g mandatory-rate 1 2 5.5 11dot11g supported-rate 6 9 12 18 24 36 48 54 #wlan service-template 1 clearssid ChinaNet-cszz#wlan service-template 2 cryptossid ChinaNet-000#wlan service-template 3 cryptossid ChinaNet-111cipher-suite tkipcipher-suite ccmpsecurity-ie rsnsecurity-ie wpaservice-template enable#ssl server-policy chinanetpki-domain navigator#cwmpundo cwmp enablecwmp acs username navigatorcwmp acs password navigatorcwmp cpe inform interval enablecwmp cpe inform interval 43200cwmp cpe username bbms password bbms#l2tp-group 1mandatory-lcpallow l2tp virtual-template 0 remote SHDLAC domain rzglj.vpdn.sdtunnel passwor<1!!d simple rzglj001tunnel name rztest#interface Ethernet0/0port link-mode routenat outboundip address *ipsec policy navigator#interface Ethernet0/1port link-mode routeinterface Virtual-T emplate0ppp authentication-mode pap domain rzglj.vpdn.sd remote address pool 1ip address 10.0.0.1 255.255.255.0#interface NULL0#interface Vlan-interface1ip address 192.168.10.1 255.255.255.0dhcp server apply ip-pool vlan1dhcp select relay#interface Ethernet0/2port link-mode bridge#interface Ethernet0/3port link-mode bridge#interface Ethernet0/4port link-mode bridge#interface Ethernet0/5port link-mode bridge#interface Ethernet0/6port link-mode bridge#interface Ethernet0/7port link-mode bridgeinterface Ethernet0/8port link-mode bridge#interface Ethernet0/9port link-mode bridge#interface WLAN-BSS0#interface WLAN-BSS1#interface WLAN-BSS2port-security port-mode pskport-security tx-key-type 11keyport-security preshared-key pass-phrase sdrz0633 #interface WLAN-Radio2/0service-template 1 interface wlan-bss 0service-template 2 interface wlan-bss 1service-template 3 interface wlan-bss 2#ip route-static 0.0.0.0 0.0.0.0 *#dhcp enable#ip https ssl-server-policy chinanetip https enable#nms primary monitor-interface Ethernet0/0#load xml-configuration#load tr069-configuration#user-interface con 0user-interface vty 0 4 authentication-mode scheme #return。
网络安全之——ACL(访问控制列表)
网络安全之——ACL(访问控制列表)【实验目的】1、掌握基本AC L的原理及配置方法。
2、熟悉高级AC L的应用场合并灵活运用。
【实验环境】H3C三层交换机1台,PC 3台,标准网线3根。
【引入案例1】某公司建设了Intra net,划分为经理办公室、档案室、网络中心、财务部、研发部、市场部等多个部门,各部门之间通过三层交换机(或路由器)互联,并接入互联网。
自从网络建成后麻烦不断,一会儿有人试图偷看档案室的文件或者登录网络中心的设备捣乱,一会儿财务部抱怨研发部的人看了不该看的数据,一会儿领导抱怨员工上班时候整天偷偷泡网,等等。
有什么办法能够解决这些问题呢?【案例分析】网络应用与互联网的普及在大幅提高企业的生产经营效率的同时也带来了许多负面影响,例如,数据的安全性、员工经常利用互联网做些与工作不相干的事等等。
一方面,为了业务的发展,必须允许合法访问网络,另一方面,又必须确保企业数据和资源尽可能安全,控制非法访问,尽可能的降低网络所带来的负面影响,这就成了摆在网络管理员面前的一个重要课题。
网络安全采用的技术很多,通过ACL(Access Contro l List,访问控制列表)对数据包进行过滤,实现访问控制,是实现基本网络安全的手段之一。
【基本原理】ACL是依据数据特征实施通过或阻止决定的过程控制方法,是包过滤防火墙的一种重要实现方式。
ACL是在网络设备中定义的一个列表,由一系列的匹配规则(rule)组成,这些规则包含了数据包的一些特征,比如源地址、目的地址、协议类型以及端口号等信息,并预先设定了相应的策略——允许(permin t)或禁止(Deny)数据包通过。
基于ACL的包过滤防火墙通常配置在路由器的端口上,并且具有方向性。
h3c acl的配置
好象是我inbound和outbound概念搞错了是不?
这么写对吗:
acl number 3001
rule deny ip sour 192.168.2.0 0.0.0.255 des 192.168.1.0 0.0.0.255
int e1/0/2(改成源端口)
brookhe 2008-6-2 09:40
请教:S3600-28TP-SI的ACL问题!
我主要是想限制e1/0/2对e1/0/1的通信,端口e1/0/1所在地址是192.168.1.0网段,端口e1/0/2所在地址网段为192.168.2.0;于是写了ACL:
acl number 3001
两种写法在不同端口上是否一样的效果,来个人指点一下谢谢了!!!
rongfei 2008-6-3 09:43
如果两个端口需要通信,你使用交换机是无法实现你的要求的,单向通信只能使用防火墙来实现
packet-filter inbound ip-group 1
那如果在目的端口上这么写对吗:
acl number 3001
rule deny ip sour 192.168.2.0 0.0.0.255 des 192.168.1.0 0.0.0.255
int e1/0/1
packet-filter outbound ip-group 3001
rule deny ip sour 192.168.2.0 0.0.0.255 des 192.168.1.0 0.0.0.255
int e1/0/1
packer-filter inbound ip-group 3001
华为H3C-ACL操作手册
目录1 ACL配置......................................................................................................................................1-11.1 ACL简介.....................................................................................................................................1-11.1.1 ACL匹配顺序....................................................................................................................1-11.1.2 ACL在交换机上的应用方式...............................................................................................1-21.1.3 H3C S3100系列以太网交换机支持的ACL........................................................................1-21.2 ACL配置.....................................................................................................................................1-31.2.1 配置时间段........................................................................................................................1-31.2.2 定义基本ACL....................................................................................................................1-41.2.3 定义高级ACL....................................................................................................................1-51.2.4 定义二层ACL....................................................................................................................1-71.3 ACL下发.....................................................................................................................................1-81.3.1 全局下发ACL....................................................................................................................1-81.3.2 VLAN下发ACL..................................................................................................................1-91.3.3 端口组下发ACL.................................................................................................................1-91.3.4 端口下发ACL..................................................................................................................1-101.4 ACL的显示................................................................................................................................1-101.5 ACL被上层软件引用典型配置举例.............................................................................................1-111.5.1 通过源IP对Telnet登录用户进行控制配置举例.................................................................1-111.5.2 通过源IP对WEB登录用户进行控制配置举例...................................................................1-111.6 ACL下发到硬件典型配置举例....................................................................................................1-121.6.1 基本ACL配置举例...........................................................................................................1-121.6.2 高级ACL配置举例...........................................................................................................1-131.6.3 二层ACL配置举例...........................................................................................................1-131.6.4 端口组下发ACL配置举例................................................................................................1-141 ACL配置1.1 ACL简介随着网络规模的扩大和流量的增加,对网络安全的控制和对带宽的分配成为网络管理的重要内容。