H3C配置ACL

这篇具有很好参考价值的文章主要介绍了H3C配置ACL。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

H3C配置ACL

1. ACL简介

随着网络规模的扩大和流量的增加,对网络安全的控制和对带宽的分配成为网络管理的重要内容。 通过对数据包进行过滤,可以有效防止非法用户对网络的访问,同时也可以控制流量,节约网络 资源。ACL(Access Control List,访问控制列表)即是通过配置对报文的匹配规则和处理操作 来实现包过滤的功能。

当交换机的端口接收到报文后,即根据当前端口上应用的 ACL 规则对报文的字段进行分析,在识 别出特定的报文之后,根据预先设定的策略允许或禁止相应的数据包通过。

由 ACL 定义的数据包匹配规则,也可以被其它需要对流量进行区分的功能引用,如 QoS 中流分 类规则的定义。

ACL 通过一系列的匹配条件对数据包进行分类,这些条件可以是数据包的源地址、目的地址、端 口号等。根据应用目的,可将 ACL 分为以下几种:

  • 基本ACL:只根据数据包的源IP地址指定规则
  • 高级ACL:根据数据包的源IP、目的IP、IP承载的协议类型、协议特性等三、四层信息制定规则。
  • 二层ACL:根据数据包的源MAC地址、目的MAC地址、802.1p优先级、二层协议类型等二层信息制定规则。
  • 用户自定义ACL:以数据包的头部为基准,制定从第几个字节开始与掩码进行“与”操作,将从报文提取出来的字符串和用户定义的字符串进行比较,找到匹配的报文。

2. ACL配置

2.1 配置时间段


配置步骤 命令 说明
进入系统视图 system-view -
创建一个时间段 time-range time-name { start-time to end-time days-of-the-week [ from start-time start-date ] [ to end-time end-date ] from start-time start-date | [ to end-time end-date ] 必选

举例

# 配置周期时间段,时间范围为周一到周五每天 8:00 到 18:00。

<Sysname> system-view
[Sysname] time-range test 8:00 to 18:00 working-day
[Sysname] display time-range test
Current time is 13:27:32 Apr/16/2005 Saturday

2.2 定义基本 ACL


基本 ACL 只根据源 IP 地址制定规则,对数据包进行相应的分析处理。

基本 ACL 的序号取值范围为 2000~2999。

配置步骤 命令 说明
进入系统视图 system-view -
创建一个时间段 acl number acl-number [ match-order { auto | config } ] 必选 缺省情况下,匹配顺序为 config
定义 ACL 规则 rule [ rule-id ] { deny | permit } [ rule-string ] 必选 rule-string 的具体内容请参见命令手 册
定义 ACL 的描述信息 description text 可选 缺省情况下,ACL 没有描述信息

举例

# 配置基本 ACL 2000,禁止源 IP 地址为 192.168.0.1 的报文通过。

<Sysname> system-view
[Sysname] acl number 2000
[Sysname-acl-basic-2000] rule deny source 192.168.0.1 0

# 显示基本 ACL 2000 的配置信息。

[Sysname-acl-basic-2000] display acl 2000
Basic ACL 2000, 1 rule
Acl's step is 1
 rule 0 deny source 192.168.0.1 0 

2.2 定义高级ACL


高级 ACL 可以使用数据包的源 IP 地址、目的 IP 地址、IP 承载的协议类型、针对协议的特性(例 如 TCP 或 UDP 的源端口、目的端口,ICMP 协议的消息类型、消息码等)内容定义规则。 高级 ACL 序号取值范围 3000~3999(3998 与 3999 是系统为集群管理预留的编号,用户无法配 置)。

高级 ACL 支持对三种报文优先级的分析处理:ToS(Type of Service,服务类型)优先级、IP 优先级和 DSC(Differentiated Services CodePoint,差分服务编码点)优先级。 用户可以利用高级 ACL 定义比基本 ACL 更准确、更丰富、更灵活的规则。

配置步骤 命令 说明
进入系统视图 system-view -
创建并进入高级ACL视图 acl number acl-number [ match-order { auto | config } ] 必选 缺省情况下,匹配顺序为 config
定义 ACL 规则 rule [ rule-id ] { deny | permit } protocol [ rule-string ] 必选 protocol 和rule-string 的具体内容请参见命令手 册
定义 ACL 规则的注释信息 rule rule-id comment text 可选 缺省情况下,ACL 规则没有注释信息
定义ACL的描述信息 description text 可选 缺省情况下,ACL 没有描述信息

举例

# 配置高级 ACL 3000,允许从 129.9.0.0/16 网段的主机向 202.38.160.0/24 网段的主机发送的端 口号为 80 的 TCP 报文通过。

<Sysname> system-view
[Sysname] acl number 3000
[Sysname-acl-adv-3000] rule permit tcp source 129.9.0.0 0.0.255.255 destination
202.38.160.0 0.0.0.255 destination-port eq 80

# 显示高级 ACL 3000 的配置信息。

[Sysname-acl-adv-3000] display acl 3000
Advanced ACL 3000, 1 rule
Acl's step is 1
 rule 0 permit tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255
destination-port eq www 

2.3 定义二层ACL


二层 ACL 根据源 MAC 地址、目的 MAC 地址、802.1p 优先级、二层协议类型等二层信息制定规 则,对数据进行相应处理。

二层 ACL 的序号取值范围为 4000~4999。

配置步骤 命令 说明
进入系统视图 system-view -
创建并进入二层ACL视图 acl number acl-number 必选
定义 ACL 规则 rule [ rule-id ] { deny | permit } [ rule-string ] 必选 rule-string 的具体内容请参见命令手 册
定义 ACL 规则的注释信息 rule rule-id comment text 可选 缺省情况下,ACL 规则没有注释信息
定义ACL的描述信息 description text 可选 缺省情况下,ACL 没有描述信息

举例

配置二层 ACL 4000,禁止从 MAC 地址 000d-88f5-97ed 发送到 MAC 地址 0011-4301-991e 且 802.1p 优先级为 3 的报文通过。

<Sysname> system-view
[Sysname] acl number 4000
[Sysname-acl-ethernetframe-4000] rule deny cos 3 source 000d-88f5-97ed ffff-ffff-ffff 
dest 0011-4301-991e ffff-ffff-ffff 

# 显示二层 ACL 4000 的配置信息。文章来源地址https://www.toymoban.com/news/detail-444875.html

[Sysname-acl-ethernetframe-4000] display acl 4000
Ethernet frame ACL 4000, 1 rule
Acl's step is 1
 rule 0 deny cos excellent-effort source 000d-88f5-97ed ffff-ffff-ffff dest
0011-4301-991e ffff-ffff-ffff 

到了这里,关于H3C配置ACL的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • H3C加固:关闭不安全的web和telnet服务,设置ACL仅允许固定IP ssh

    1、H3C交换机的WEB服务默认是开启的,所以专门关一下: # undo  ip http enable        或:ip http shutdown 2、关闭telnet服务: # undo telnet server enable 3、ACL应用到接口: btw: 有的老版本,可以直接用ssh server acl 3000

    2024年02月11日
    浏览(67)
  • H3C无线配置

    一、拓扑 简介: HCL版本:V5.7.1,模拟器AC及交换机系统版本:V7 二、配置步骤: 配置设备间基本链路及IP路由、vlan、等,保障交换机和AC之间二层或者三层互通。 配置AP上线。 配置两个服务模板。(一个用vlan100,另一个用vlan200) *服务模板概念简介:定义一个包含了WiFi的

    2024年02月16日
    浏览(40)
  • h3c irf简单配置案例

    配置以双线连接为例,注意配置步骤不能颠倒。 SW1配置: 1.将设备优先级调整为32(1-32),确保该设备被选举为Master(主设备) [SW1]irf member 1 priority 32 2.关闭要加入的IRF的物理端口。 [SW1]interface Ten-G1/0/49 [SW1-Ten-GigabitEthernet1/0/49]shutdown [SW1]interface Ten-G1/0/50 [SW1-Ten-GigabitEthernet

    2024年02月15日
    浏览(39)
  • H3C设备配置DHCP服务

    实验拓扑如下:   实验要求:         1.网络中有两个VLAN,分别是VLAN10和VLAN20,VLAN10的网关为:1.1.1.254,子网掩码为255.255.255.0;VLAN20的网关为:1.1.2.254,子网掩码为:255.255.255.0。         2.要求在设备GATEWAY_DHCP上创建VLAN10和VLAN20的网关,并且配置成DHCP自动获取模式,

    2024年02月13日
    浏览(34)
  • H3C防火墙NAT配置

                                              静态NAT配置 动态NAT配置(NO-PAT) NAT配置(PAT) 步骤一:进行端口IP设置 步骤二:进行访问策略的添加以及策略的设置 步骤三:开启端口NAT转换 步骤四:测试ping下外网IP 步骤五:查看是否生成NAT会话表 步骤1-3与上述相同 步骤

    2024年02月13日
    浏览(40)
  • H3C简单的防火墙配置

    1.根据题目要求配置IP地址,用路由器R2的环回地址模拟PC地址 2.防火墙端口绑定安全域,配置安全策略,local/trust/untrust 域可互通 3.内网做ospf,保证内网的连通性 4.配置NAT使内网可访问 internet 注:防火墙默认有5个域:Local 本地,Trust 信任,Untrust 不信任,DMZ 隔离区或非军事区

    2024年02月06日
    浏览(35)
  • H3C 交换机配置SSH

    一.设备作为 SSH 服务器端设置 # 生成 RSA 密钥对。 H3Csystem-view // 进入系统视图 System View: return to User View with Ctrl+Z. [H3C]public-key local create rsa // 生成 RSA 密钥对 The range of public key size is (512 ~ 2048). NOTES: If the key modulus is greater than 512, It will take a few minutes. Press CTRL+C to abort. Input the

    2024年02月06日
    浏览(45)
  • 网络:CISCO、Huawei、H3C命令对照

    思科、华为、锐捷命令对照表 编号 思科 华为 锐捷 命令解释 1 2 write save save 保存 3 4 5 6         如果你所处的视图为非系统视图,需要查看配置的时候,需要在该配置命令前加do。         在特定的视图之下,有对应的特定命令。例如,在接口视图下的ip address,不能

    2024年02月13日
    浏览(38)
  • H3C路由防止网络攻击的方法介绍

      一、使用ip verfy unicast reverse-path检查每一个经过路由器的数据包,该数据包所到达网络接口的所有路由项中,如果没有该数据包源IP地址的路由,路由器将丢弃该数据包,单一地址反向传输路径转发在ISP实现阻止SMURF攻击和其它基于IP地址伪装的攻击,这能够保护网络和客户

    2024年02月05日
    浏览(37)
  • H3C-ACL基础配置实验

    实验拓扑 实验要求 1.按图配置ip地址 2.全网路由互通 3.在 SERVER1 上配置开启 TELNET 和 FTP 服务 4.配置 ACL 实现如下效果 ①: 192.168.1.0/24 网段不允许访问 192.168.2.0/24 网段,要求使用基本 ACL 实现 ②:PC1 可以访问 SERVER1 的 TELNET 服务,但不能访问 FTP 服务 ③:PC2 可以访问 SERVER1 的

    2024年02月11日
    浏览(37)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包