H3C访问控制列表(ACL)实例精华

华为路由器:通过ACL(访问控制列表)限制上网

默认分类2009-06-10 07:52:48 阅读79 评论0 字号：大中小

登录到路由器

telnet 192.168.1.1

输入用户名，密码

acl number 3000 （如果不存在，创建访问列表；存在则添加一条限制）

允许192.168.1.99上网：

rule 10 permit ip source 192.168.1.99 0 destination 0.0.0.0 0.0.0.0

说明：192.168.1.99 0 表示允许192.168.1.99这台主机，0表示本机。

rule 规则编号ip source 主机反子网掩码destination 目的IP 反子网掩码

如果要允许多个连续IP上网：

rule 11 permit ip source 192.168.1.16 0.0.0.15 destination 0.0.0.0 0.0.0.0

表示允许192.168.1.16/28 即:192.168.1.17-192.168.1.30可以上网

同样，可以限制某IP只能访问某一个网站：

例如，允许192.168.1.98这台主机只能访问

rule 13 permit ip source 192.168.1.98 0 destination 121.14.89.14 0

某个网站的IP:可以打开命令提示符,ping (以百度为例)

最后不要忘记：

rule 12 deny any any 把不符合以上规则的数据都过滤掉，这样只有上面列出的ip才可以上网。

H3C交换机典型ACL访问控制列表配置教程

交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。交换机还具备了一些新的功能，如对VLAN(虚拟局域网)的支持、对链路汇聚的支持，甚至有的还具有防火墙的功能。对于ACL，可能很多用户还不熟悉怎么设置，本文将介绍如何配置H3C交换机典型(ACL)访问控制列表,需要的朋友可以参考下

配置步骤：

H3C 3600 5600 5100系列交换机典型访问控制列表配置

共用配置

1.根据组网图，创建四个vlan，对应加入各个端口

system-view

[H3C]vlan 10

[H3C-vlan10]port GigabitEthernet 1/0/1

[H3C-vlan10]vlan 20

[H3C-vlan20]port GigabitEthernet 1/0/2

[H3C-vlan20]vlan 30

[H3C-vlan30]port GigabitEthernet 1/0/3

[H3C-vlan30]vlan 40

[H3C-vlan40]port GigabitEthernet 1/0/4

[H3C-vlan40]quit

2.配置各VLAN虚接口地址

[H3C]interface vlan 10

[H3C-Vlan-interface10]ip address 10.1.1.1 24

[H3C-Vlan-interface10]quit

[H3C]interface vlan 20

[H3C-Vlan-interface20]ip address 10.1.2.1 24

H3C交换机典型（ACL）访问控制列表配置实例

欧阳学文

一、组网需求： 1．通过配置基本访问控制列表，实现在每天8:00～18:00时间段内对源IP为10.1.1.2主机发出报文的过滤； 2．要求配置高级访问控制列表，禁止研发部门与技术支援部门之间互访，并限制研发部门在上班时间8:00至18:00访问工资查询服务器；3．通过二层访问控制列表，实现在每天8:00～18:00时间段内对源MAC为00e0fc010101的报文进行过滤。二、组

网图：

三、配置步骤： H3C 3600 5600 5100系列交换机典型访问控制列表配置共用配置 1．根据组网图，创建四个vlan，对应加入各个端口 <H3C>systemview [H3C]vlan 10 [H3Cvla n10]port GigabitEthernet 1/0/1 [H3Cvlan10]vlan 20 [H3Cvlan 20]port GigabitEthernet 1/0/2 [H3Cvlan20]vlan 30 [H3Cvlan30] port GigabitEthernet 1/0/3 [H3Cvlan30]vlan 40 [H3Cvlan40]p ort GigabitEthernet 1/0/4 [H3Cvlan40]quit 2．配置各VLAN 虚接口地址 [H3C]interface vlan 10 [H3CVlaninterface10]ip ad dress 10.1.1.1 24 [H3CVlaninterface10]quit [H3C]interface vlan 20 [H3CVlaninterface20]ip address 10.1.2.1 24 [H3CVlaninterfa

H3C交换机典型（A C L）访问控制列表配置实例一、组网需求：

2．要求配置高级访问控制列表，禁止研发部门与技术支援部门之间互访，并限制研发部门在上班时间8:00至18:00访问工资查询服务器；

3．通过二层访问控制列表，实现在每天8:00～18:00时间段内对源MAC为00e0-fc01-0101的报文进行过滤。

二、组网图：

三、配置步骤：

H3C360056005100系列交换机典型访问控制列表配置

共用配置

1．根据组网图，创建四个vlan，对应加入各个端口system-view

[H3C]vlan10

[H3C-vlan10]portGigabitEthernet1/0/1

[H3C-vlan10]vlan20

[H3C-vlan20]portGigabitEthernet1/0/2

[H3C-vlan20]vlan30

[H3C-vlan30]portGigabitEthernet1/0/3

[H3C-vlan30]vlan40

[H3C-vlan40]portGigabitEthernet1/0/4

[H3C-vlan40]quit

2．配置各VLAN虚接口地址

[H3C]interfacevlan10

[H3C-Vlan-interface10]ipaddress24

[H3C-Vlan-interface10]quit

[H3C]interfacevlan20

[H3C-Vlan-interface20]ipaddress24

[H3C-Vlan-interface20]quit

[H3C]interfacevlan30

H3C交换机典型（ACL）访问控制列表配置实例

一、组网需求：

2．要求配置高级访问控制列表，禁止研发部门与技术支援部门之间互访，并限制研发部门在上班时间8:00至18:00访问工资查询服务器；

三、配置步骤：

H3C 3600 5600 5100系列交换机典型访问控制列表配置

共用配置

1．根据组网图，创建四个vlan，对应加入各个端口

system-view

[H3C]vlan 10

[H3C-vlan10]port GigabitEthernet 1/0/1

[H3C-vlan10]vlan 20

[H3C-vlan20]port GigabitEthernet 1/0/2

[H3C-vlan20]vlan 30

2

[H3C-Vlan-interface30]quit

[H3C]interface vlan 40

[H3C-Vlan-interface40]quit

3．定义时间段

[H3C] time-range huawei 8:00 to 18:00 working-day

需求1配置（基本ACL配置）

1．进入2000号的基本访问控制列表视图

[H3C-GigabitEthernet1/0/1] acl number 2000

3．在接口上应用2000号ACL

需求2

1．进入

[H3C]

2

3

4

[H3C-GigabitEthernet1/0/2] packet-filter inbound ip-group 3000

需求3配置（二层ACL配置）

1．进入4000号的二层访问控制列表视图

[H3C] acl number 4000

H3C交换机典型（A C L）访问控制列表配置实例一、组网需求：

2．要求配置高级访问控制列表，禁止研发部门与技术支援部门之间互访，并限制研发部门在上班时间8:00至18:00访问工资查询服务器；

3．通过二层访问控制列表，实现在每天8:00～18:00时间段内对源MAC为00e0-fc01-0101的报文进行过滤。

二、组网图：

三、配置步骤：

H3C360056005100系列交换机典型访问控制列表配置

共用配置

1．根据组网图，创建四个vlan，对应加入各个端口

system-view

[H3C]vlan10

[H3C-vlan10]portGigabitEthernet1/0/1

[H3C-vlan10]vlan20

[H3C-vlan20]portGigabitEthernet1/0/2

[H3C-vlan20]vlan30

[H3C-vlan30]portGigabitEthernet1/0/3

[H3C-vlan30]vlan40

[H3C-vlan40]portGigabitEthernet1/0/4

[H3C-vlan40]quit

2．配置各VLAN虚接口地址

[H3C]interfacevlan10

[H3C-Vlan-interface10]ipaddress24

[H3C-Vlan-interface10]quit

[H3C]interfacevlan20

[H3C-Vlan-interface20]ipaddress24

[H3C-Vlan-interface20]quit

[H3C]interfacevlan30

H3C交换机典型（ACL）访问控制列表配置实例

一、组网需求：

1．通过配置基本访问控制列表，实现在每天8:00～18:00时间段内对源IP为10.1.1.2主机发出报文的过滤；

2．要求配置高级访问控制列表，禁止研发部门与技术支援部门之间互访，并限制研发部门在上班时间8:00至18:00访问工资查询服务器；

3．通过二层访问控制列表，实现在每天8:00～18:00时间段内对源MAC为00e0-fc01-0101的报文进行过滤。

二、组网图：

三、配置步骤：

H3C 3600 5600 5100系列交换机典型访问控制列表配置

共用配置

1．根据组网图，创建四个vlan，对应加入各个端口system-view

[H3C]vlan 10

[H3C-vlan10]port GigabitEthernet 1/0/1

[H3C-vlan10]vlan 20

[H3C-vlan20]port GigabitEthernet 1/0/2

[H3C-vlan20]vlan 30

[H3C-vlan30]port GigabitEthernet 1/0/3

[H3C-vlan30]vlan 40

[H3C-vlan40]port GigabitEthernet 1/0/4

[H3C-vlan40]quit

2．配置各VLAN虚接口地址

[H3C]interface vlan 10

[H3C-Vlan-interface10]ip address 10.1.1.1 24 [H3C-Vlan-interface10]quit

[H3C]interface vlan 20

H3C路由器基本ACL配置案例

1. 组网需求

通过基本ACL，实现对源IP为192.168.0.2主机发出报文的过滤（该主机从路由器的Ethernet0/0接入）。

2. 组网图

图1-1 访问控制典型配置举例

3. 配置步骤

(1) 路由器以太网地址

system-view

[H3C] int e0/0

[H3C-interface0/0] ip add 192.168.0.1 24

(2) 定义源IP为192.168.0.2的ACL

# 进入ACL2000视图。

[H3C] acl number 2000

# 定义源IP为192.168.0.2的访问规则。

[H3C-acl-basic-2000] rule deny source 192.168.0.2 0

[H3C-acl-basic-2000] quit

(3) 在路由器上启动防火墙功能

[H3C] firewall enable

(4) 在端口上应用ACL

# 在端口上应用ACL 2000。

[H3C] interface ethernet0/0

[H3C-Ethernet0/0] firewall packet-filter 2000 inbound

4.测试方法

（1）计算机上ping交换机的管理IP：Ping 192.168.0.1 （结果不通）

（2）但是把计算机接到交换机的其他端口，如：ethernet1/0/3，则，Ping 192.168.0.1 （结果通）

ACL 基本访问控制列表

1 功能需求及组网说明

『配置环境参数』

路由器RTA 模拟整个企业网，用另一台路由器RTB 模拟外部网；

RTA 与SWA 相连，RTB 与SWB 相连;

RTA 与RTB 通过串口互连；

路由器与主机IP 地址如上图所示。

『组网需求』

学习配置基本访问控制列表，灵活设计防火墙；

只允许PCA 访问外部网络，其余主机均不能访问外部网。

2 数据配置步骤

【RTA 路由器配置】

<RTA>

<RTA>system-view

192.0.0.1/24 202.0.0.2/24 202.0.0.3/24 202.0.1.2/24 202.0.1.3/24 192.0.0.2/24

[RTA]interface GigabitEthernet 0/0

[RTA-GigabitEthernet0/0]ip address 202.0.0.1 24

[RTA-GigabitEthernet0/0]quit

[RTA]interface Serial 1/0

[RTA-Serial1/0]ip address 192.0.0.1 24

[RTA-Serial1/0]quit

[RTA]firewall enable //启动防火墙功能[RTA]firewall default permit

[RTA]acl number 2000

[RTA-acl-basic-2000]rule 0 permit source 202.0.0.2 0

//允许特定主机访问外部网络

[RTA-acl-basic-2000]rule 1 deny source 202.0.0.0 0.0.0.255

精心整理H3C交换机典型（ACL）访问控制列表配置实例

一、组网需求：

2．要求配置高级访问控制列表，禁止研发部门与技术支援部门之间互访，并限制研发部门在上班时间8:00至18:00访问工资查询服务器；

3．通过二层访问控制列表，实现在每天8:00～18:00时间段内对源MAC为00e0-fc01-0101的报文进行过滤。

二、组网图：

三、配置步骤：

H3C360056005100系列交换机典型访问控制列表配置

共用配置

1．根据组网图，创建四个vlan，对应加入各个端口

system-view

[H3C]vlan10

[H3C-vlan10]portGigabitEthernet1/0/1

[H3C-vlan10]vlan20

[H3C-vlan20]portGigabitEthernet1/0/2

[H3C-vlan20]vlan30

[H3C-vlan30]portGigabitEthernet1/0/3

[H3C-vlan30]vlan40

2

[H3C-Vlan-interface40]quit

3．定义时间段

[H3C]time-rangehuawei8:00to18:00working-day 需求1配置（基本ACL配置）

1．进入2000号的基本访问控制列表视图

[H3C-GigabitEthernet1/0/1]aclnumber2000

[H3C-acl-basic-2000]rule1denysource0time-rangeHuawei

3．在接口上应用2000号ACL

[H3C-acl-basic-2000]interfaceGigabitEthernet1/0/1

H3C交换机典型（ACL）访问控制列表配置实例一、组网需求：

1．通过配置基本访问控制列表，实现在每天8:00～18:00时间段内对源IP为10.1.1.2主机发出报

文的过滤；

2．要求配置高级访问控制列表，禁止研发部门与技术支援部门之间互访，并限制研发部门在上

班时间8:00至18:00访问工资查询服务器；

3．通过二层访问控制列表，实现在每天8:00～18:00时间段内对源MAC为00e0-fc01-0101的报

文进行过滤。

二、组网图：

三、配置步骤：

H3C 3600 5600 5100系列交换机典型访问控制列表配置

共用配置

1．根据组网图，创建四个vlan，对应加入各个端口

<H3C>system-view

[H3C]vlan 10

[H3C-vlan10]port GigabitEthernet 1/0/1

[H3C-vlan10]vlan 20

[H3C-vlan20]port GigabitEthernet 1/0/2

[H3C-vlan20]vlan 30

[H3C-vlan30]port GigabitEthernet 1/0/3

[H3C-vlan30]vlan 40

[H3C-vlan40]port GigabitEthernet 1/0/4

[H3C-vlan40]quit

2．配置各VLAN虚接口地址

[H3C]interface vlan 10

[H3C-Vlan-interface10]ip address 10.1.1.1 24

[H3C-Vlan-interface10]quit

H 3 C 交换机典型（ACL ） 访问控制列表配置实例

一、组网需求：

2 •要求配置高级访问控制列表，禁止研发部门与技术支援部门之间互访，并限制研发部门在上班时

间

至18:00访问工资查询服务器；

3 .通过二层访问控制列表， 实现在每天8:00〜18:00时间段内对源 MAC 为00e0-fc01-0101 、组网图

亠10.1.3.0/24

$ 管理部门 三、配置步骤：

H3C5100系列交换机典型访问控制列表配置

共用配置

1. 根据组网图，创建四个 vlan ，对应加入各个端口

system-view

[H3C]vla n10 1Q.1 .2 0/24 硏按部门 10,K1.0^4

10.1.4.2

D0e0-f?0l-0303

G1/0/2

vm ZC

G1/OA3

YLMT 30

技禾支援部门

Gl/0/1 VIAH 8:00 的报文进行过滤。 脚本之家

UUUJ UJ. 1 .NET

[H3C-vla n10]portGigabitEthernet1/0/1 [H3C-vlan10]vlan20 [H3C-vlan20]portGigabitEthernet1/0/2

[H3C-vlan20]vlan30 [H3C-vlan30]portGigabitEthernet1/0/3

[H3C-vlan30]vlan40

[H3C-vlan40]portGigabitEthernet1/0/4

[H3C-vlan40]quit

2．配置各VLAN 虚接口地址

[H3C]interfacevlan10

[H3C-Vlan-interface10]ipaddress24

网络安全之‎——ACL(访问控制列‎表)

【实验目的】

1、掌握基本A‎C L的原理‎及配置方法‎。

2、熟悉高级A‎C L的应用‎场合并灵活‎运用。

【实验环境】

H3C三层‎交换机1台‎，PC 3台，标准网线3‎根。

【引入案例1】

某公司建设‎了Intr‎a net，划分为经理‎办公室、档案室、网络中心、财务部、研发部、市场部等多‎个部门，各部门之间‎通过三层交‎换机（或路由器）互联，并接入互联‎网。自从网络建‎成后麻烦不‎断，一会儿有人‎试图偷看档‎案室的文件‎或者登录网‎络中心的设‎备捣乱，一会儿财务‎部抱怨研发‎部的人看了‎不该看的数‎据，一会儿领导‎抱怨员工上‎班时候整天‎偷偷泡网，等等。有什么办法‎能够解决这‎些问题呢？

【案例分析】

网络应用与‎互联网的普‎及在大幅提‎高企业的生‎产经营效率‎的同时也带‎来了许多负‎面影响，例如，数据的安全‎性、员工经常利‎用互联网做‎些与工作不‎相干的事等‎等。一方面，为了业务的‎发展，必须允许合‎法访问网络‎，另一方面，又必须确保‎企业数据和‎资源尽可能‎安全，控制非法访‎问，尽可能的降‎低网络所带‎来的负面影‎响，这就成了摆‎在网络管理‎员面前的一‎个重要课题‎。网络安全采‎用的技术很‎多，通过ACL‎（Acces‎s Contr‎o l List，访问控制列‎表）对数据包进‎行过滤，实现访问控‎制，是实现基本‎网络安全的‎手段之一。

【基本原理】

ACL是依‎据数据特征‎实施通过或‎阻止决定的‎过程控制方‎法，是包过滤防‎火墙的一种‎重要实现方‎式。ACL是在‎网络设备中‎定义的一个‎列表，由一系列的‎匹配规则（rule）组成，这些规则包‎含了数据包‎的一些特征‎，比如源地址‎、目的地址、协议类型以‎及端口号等‎信息，并预先设定‎了相应的策‎略——允许（permi‎n t）或禁止（Deny）数据包通过‎。

华为3COM访问控制列表

华为3COM标准访问控制列表初识

华为3COM设备中访问控制列表ACL分很多种，不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表，他是通过使用IP包中的源IP地址进行过滤，使用的访问控制列表号1到99来创建相应的ACL。

一，标准访问控制列表的格式：

标准访问控制列表是最简单的ACL。他的具体格式如下：

acl ACL号

//进入ACL设置界面

rule permit|deny source IP地址反向子网掩码

例如：rule deny source 192.168.1.1 0.0.0.0这句命令是将所有来自192.168.1.1地址的数据包丢弃。当然我们也可以用网段来表示，对某个网段进行过滤。命令如下：

rule deny source 192.168.1.0 0.0.0.255

//将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃。为什么后头的子网掩码表示的是0.0.0.255呢？这是因为华为设备和CISCO一样规定在ACL中用反向掩玛表示子网掩码，反向掩码为0.0.0.255的代表他的子网掩码为255.255.255.0。

二，配置实例：

要想使标准ACL生效需要我们配置两方面的命令：

1，ACL自身的配置，即将详细的规则添加到ACL中。

2，宣告ACL，将设置好的ACL添加到相应的端口中。

网络环境介绍：

我们采用如下图所示的网络结构。路由器连接了二个网段，分别为

172.16.4.0/24,172.16.3.0/24。在172.16.4.0/24网段中有一台服务器提供WWW服务，IP地址为172.16.4.13。