华三交换机配置拓展acl 允许特定ip访问特定IP地址
- 0关注
- 0收藏,6744浏览
问题描述:
! ip access-list extended 101
10 permit ip 30.0.0.0 0.0.4.255 10.2.0.0 0.0.255.255
20 permit ip 30.0.0.0 0.0.4.255 10.3.0.0 0.0.255.255
25 permit ip 30.0.2.0 0.0.0.255 host 10.2.70.57
26 permit ip 30.0.3.0 0.0.0.255 host 10.2.70.57
27 permit ip 30.0.1.0 0.0.0.255 host 10.2.70.57
30 permit ip 30.0.0.0 0.0.4.255 host 10.10.3.76
40 permit ip 30.0.1.0 0.0.0.255 10.2.0.0 0.0.255.255 50 permit ip 30.0.0.0 0.0.4.255 host 10.10.3.112 60 permit ip 30.0.1.0 0.0.0.255 10.3.0.0 0.0.255.255 70 permit ip 30.0.1.0 0.0.0.255 host 10.10.3.76 80 permit ip 30.0.1.0 0.0.0.255 host 10.10.3.112
组网及组网描述:
这个怎么在华三路由器上实现呢
- 2022-11-05提问
- 举报
-
(1)
最佳答案
您好: 您这个是前缀列表吗?还是acl
#定义访问控制列表3000,用来匹配内网源地址为192.168.2.0/24网段的数据流
[H3C]acl advanced 3000
[H3C-acl-ipv4-adv-3000]rule permit ip source 192.168.2.0 0.0.0.255
[H3C-acl-ipv4-adv-3000]quit
# 定义访问控制列表3001,用来匹配内网192.168.2.0/24网段去访问内网192.168.1.0/24网段的数据流。
[H3C]acl advanced 3001
[H3C-acl-adv-3001]rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
[H3C-acl-adv-3001]quit
- 2022-11-05回答
- 评论(1)
- 举报
-
(0)
这个不是拓展acl吗
这个不是拓展acl吗
参考这个配置举例:
https://www.h3c.com/cn/d_202009/1325383_30005_0.htm#_Toc39087760
5 通过IP地址过滤流量典型配置举例
5.1 组网需求
如图3所示,某公司的网络分成管理部、研发部和服务器三个区域,通过Device设备与Internet连接。现要求通过ACL实现:
· 管理部任意时间都可以访问Internet和服务器,但不能访问研发部;
· 研发部在工作时间(周一至周五的8:30~18:00)只能访问服务器,不能访问Internet和管理部;非工作时间可以访问Internet和服务器,但不能访问管理部。
图3 通过IP地址过滤流量配置组网图
5.2 配置思路
· 为实现管理部不能访问研发部,需要创建ACL配置规则拒绝目的地址为10.1.2.0/24的报文,在Device的Ten-GigabitEthernet1/0/4的入方向进行过滤;
· 为实现研发部在工作时间只能访问服务器,需要创建ACL配置规则只允许目的地址为10.2.1.0/24的报文通过,并指定规则的生效时间段,在Device的Ten-GigabitEthernet1/0/3的入方向上进行过滤;
· 为实现研发部在非工作时间不能访问管理部,需要创建ACL配置规则拒绝目的地址为10.1.1.0/24的报文,在Device的Ten-GigabitEthernet1/0/3的入方向上进行过滤;
· 缺省情况下,ACL规则的匹配顺序为配置顺序,因此在此例中,需要先创建指定时间段内只允许目的地址为10.2.1.0/24报文通过的规则,再创建指定时间段内拒绝其他报文通过的规则。
5.3 配置步骤
# 创建IPv4高级ACL 3000。
<Device> system-view
[Device] acl advanced 3000
# 创建规则,过滤目的地址为10.1.2.0/24网段的报文。
[Device-acl-ipv4-adv-3000] rule deny ip destination 10.1.2.0 0.0.0.255
[Device-acl-ipv4-adv-3000] quit
# 配置包过滤功能,应用IPv4高级ACL 3000对端口Ten-GigabitEthernet1/0/4收到的IP报文进行过滤。
[Device] interface ten-gigabitethernet 1/0/4
[Device-Ten-GigabitEthernet1/0/4] packet-filter 3000 inbound
[Device-Ten-GigabitEthernet1/0/4] quit
(2) 配置研发部的网络权限
# 配置时间段worktime,指定周一至周五的8:30~18:00为工作时间。
[Device] time-range worktime 8:30 to 18:00 working-day
# 创建IPv4高级ACL 3001。
[Device] acl advanced 3001
# 创建规则,允许时间段内目的地址为10.2.1.0/24网段的报文通过。
[Device-acl-ipv4-adv-3001] rule permit ip destination 10.2.1.0 0.0.0.255 time-range worktime
# 创建规则,过滤时间段内其他的报文。
[Device-acl-ipv4-adv-3001] rule deny ip time-range worktime
# 创建规则,过滤目的地址为10.1.1.0/24网段的报文。
[Device-acl-ipv4-adv-3001] rule deny ip destination 10.1.1.0 0.0.0.255
[Device-acl-ipv4-adv-3001] quit
# 配置包过滤功能,应用IPv4高级ACL 3001对端口Ten-GigabitEthernet1/0/3收到的IP报文进行过滤。
[Device] interface ten-gigabitethernet 1/0/3
[Device-Ten-GigabitEthernet1/0/3] packet-filter 3001 inbound
[Device-Ten-GigabitEthernet1/0/3] quit
- 2022-11-05回答
- 评论(0)
- 举报
-
(0)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明