登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

12-ACL配置

目录

04-H3C 路由器 允许指定范围内的主机互相访问命令行配置

本章节下载 04-H3C 路由器 允许指定范围内的主机互相访问命令行配置  (192.50 KB)

04-H3C 路由器 允许指定范围内的主机互相访问命令行配置

H3C 路由器

允许指定范围内的主机互相访问配置举例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。

目  录

1 简介

2 配置前提

3 典型配置

3.1 组网需求

3.2 配置思路

3.3 配置步骤

3.4 验证配置

3.5 配置文件

4 相关资料

 

1 简介

本文档介绍了允许指定范围内的主机互相访问的配置举例。

2 配置前提

本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文假设您已了解ACL特性。

3 典型配置

3.1  组网需求

图3-1所示,设备作为三个网段的网关,分别为192.168.10.0/24,192.168.20.0/24,192.168.20.0/24。现要求通过ACL实现:

·     不允许192.168.10.0/24网段的用户访问192.168.20.0/24网段的服务器,但可以访问192.168.30.0/24网段的服务器。

·     其他网段的用户允许访问192.168.20.0/24和192.168.30.0/24网段的服务器。

图3-1 允许指定范围内的主机互相访问配置组网图

 

3.2  配置思路

为实现允许指定范围内的主机互相访问要求,需要创建ACL配置规则允许指定目的地址的报文,在Device的GigabitEthernet1/0/1的入方向进行过滤。

3.3  配置步骤

# 配置接口的IP地址。

<Device> system-view

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip address 192.168.10.1 24

[Device-GigabitEthernet1/0/1] quit

[Device] interface gigabitethernet 1/0/2

[Device-GigabitEthernet1/0/2] ip address 192.168.20.1 24

[Device-GigabitEthernet1/0/2] quit

[Device] interface gigabitethernet 1/0/3

[Device-GigabitEthernet1/0/3] ip address 192.168.30.1 24

[Device-GigabitEthernet1/0/3] quit

# 创建高级IPv4 ACL 3000,配置两条规则,分别为不允许目的地址为192.168.20.0/24网段的报文通过,以及允许其它报文通过。

[Device] acl advanced 3000

[Device-acl-ipv4-adv-3000] rule deny ip destination 192.168.20.0 0.0.0.255

[Device-acl-ipv4-adv-3000] rule permit ip

# 配置包过滤功能,应用高级IPv4 ACL 3000对端口GigabitEthernet1/0/1收到的报文进行过滤。

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] packet-filter 3000 inbound

3.4  验证配置

# 执行display packet-filter命令查看包过滤功能的应用状态。

[Device] display packet-filter interface inbound

Interface: GigabitEthernet1/0/1

 In-bound policy:

  ACL 3000

上述信息显示-GigabitEthernet1/0/1接口上已经正确应用了包过滤功能。在192.168.10.0/24网段的主机上以192.168.20.0/24网段内的服务器为目的进行ping操作,此操作返回请求超时信息;ping其它网段的主机,此操作返回正常应答信息

3.5  配置文件

#

interface GigabitEthernet1/0/1

 port link-mode route

 combo enable copper

 ip address 192.168.10.1 255.255.255.0

 packet-filter 3000 inbound

#

interface GigabitEthernet1/0/2

 port link-mode route

 combo enable copper

 ip address 192.168.20.1 255.255.255.0

#

interface GigabitEthernet1/0/3

 port link-mode route

 combo enable copper

 ip address 192.168.30.1 255.255.255.0

#

acl advanced 3000

 rule deny ip destination 192.168.20.0 0.0.0.255

 rule permit ip

#

4 相关资料

·     《H3C MSR系列路由器 配置指导(V7)》中的“ACL和QoS配置指导”

·     《H3C MSR系列路由器 命令参考(V7)》中的“ACL和QoS命令参考”

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们