Zhyuce.com
Home
交换机acl配置
2021-10-13
ACL划分: 1、基本ACL(2000-2999) 使用:在系统视图下输入acl number 2000 提示符示例:[dev-acl-basic-2000] 可使用IPv4报文的源IP地址、分片标记和时间段信息来定义规则。 2、高级ACL(3000-3999) 使用:在系统视图下输入acl number 3000 提示符示例:[dev-acl-adv-3000] 既可使用IPv4报文的源IP地址,也可使用目的地址、IP优先级、ToS、DSCP、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则。 3、二层ACL(4000-4999) 使用:在系统视图下输入acl number 4000 提示符示例:[dev-acl-L2-4000] 可根据报文的以太网帧头信息来定义规则,如根据源MAC(Media Access Control)地址、目的MAC地址、以太帧协议类型等。 4、自定义ACL(5000-5999) 可根据偏移位置和偏移量从报文中提取出一段内容进行匹配。 ACL(访问控制列表)的应用原则: 1、标准ACL,尽量用在靠近目的点。 2、扩展ACL,尽量用在靠近源的地方(可以保护带宽和其他资源)。 3、方向:在应用时,一定要注意方向。 # 实例:H3C交换机acl配置 # 配置acl 3001, 需要交换机支持3000以上acl acl number 3001 rule permit ip destination 10.10.1.20 0 #配置允许目的地址 0.0.0.0 缩写为0,单台机器 rule permit tcp source any destination 10.10.1.20 0 destination-port eq 8080 #配置允许端口 rule permit ip destination 172.18.15.0 0.0.0.15 rule deny ip # 在端口上配置acl过滤,方向:入 [int] packet-filter 3001 inbound