您好，请知：

H3C S5024P-EI有ACL控制功能

以下是ACL的配置案例，请参考：

1.5  ACL典型配置举例

1.5.1  在设备管理功能中应用ACL

1. 组网需求

某公司的网络组网如图1-1所示，现要求：

·              Switch在工作时间（8:30～18:00）可以接受管理网管工作站（Host A）的Telnet访问，在其余时间则不接受任何Telnet登录请求。

·              Switch作为TFTP客户端，只能从11.1.1.100的服务器上获取文件，以保证设备上不会保存未授权的非法文件。

·              Switch作为FTP服务器端，只能接受网管工作站的登录请求。

2. 组网图

图1-1 在设备管理功能中应用基本IPv4 ACL组网示意图

3. 配置步骤

·              对Telnet登录请求的限制

# 定义周期时间段telnet，时间范围为每个工作日的8:30～18:00。

<Switch> system-view

[Switch] time-range telnet 8:30 to 18:00 working-day

# 定义基本IPv4 ACL 2000，配置两条规则，分别为允许源IP地址为10.1.3.1的报文在工作时间通过以及拒绝源IP地址为任意地址的报文通过。

[Switch] acl number 2000

[Switch-acl-basic-2000] rule permit source 10.1.3.1 0 time-range telnet

[Switch-acl-basic-2000] quit

# 在所有Telnet用户界面下应用ACL 2000，方向为入方向，表示对登录到本设备的Telnet请求进行限制。

[Switch] user-interface vty 0 15

[Switch-ui-vty0-15] acl 2000 inbound

·              对TFTP服务器的访问限制

# 定义基本IPv4 ACL 2001，配置两条规则，分别为允许源IP地址为11.1.1.100的报文通过以及拒绝源IP地址为任意地址的报文通过。

[Switch] acl number 2001

[Switch-acl-basic-2001] rule permit source 11.1.1.100 0

[Switch-acl-basic-2001] quit

# 配置设备只使用ACL来限制可访问的TFTP服务器设备。

[Switch] tftp-server acl 2001

·              对FTP登录请求的限制

# 定义基本IPv4 ACL 2002，配置两条规则，分别为允许源IP地址为10.1.3.1的报文通过以及拒绝源IP地址为任意地址的报文通过。

[Switch] acl number 2002

[Switch-acl-basic-2001] rule permit source 10.1.3.1 0

[Switch-acl-basic-2001] quit

# 开启设备的FTP服务器功能。

[Switch] ftp server enable

# 配置设备使用ACL 2002来限制FTP登录请求。

[Switch] ftp server acl 2002

1.5.2  应用IPv4 ACL进行报文过滤配置举例

1. 组网需求

要求通过在Device A的端口GigabitEthernet1/0/1上配置IPv4报文过滤功能，实现在每天的8点到18点期间只允许Host A访问互联网。

2. 组网图

图1-2 应用IPv4 ACL进行报文过滤配置组网图

3. 配置步骤

# 创建名为study的时间段，其时间范围为每天的8点到18点。

<DeviceA> system-view

[DeviceA] time-range study 8:0 to 18:0 daily

# 创建IPv4基本ACL 2009，并制订如下规则：在名为study的时间段内只允许来自Host A的报文通过、禁止来自其他IP地址的报文通过。

[DeviceA] acl number 2009

[DeviceA-acl-basic-2009] rule permit source 192.168.1.2 0 time-range study

[DeviceA-acl-basic-2009] rule deny source any time-range study

[DeviceA-acl-basic-2009] quit

# 应用IPv4基本ACL 2009对端口GigabitEthernet1/0/1入方向上的报文进行过滤。

[DeviceA] interface GigabitEthernet 1/0/1

[DeviceA-GigabitEthernet1/0/1] packet-filter 2009 inbound

[DeviceA-GigabitEthernet1/0/1] quit

1.5.3  应用IPv6 ACL进行报文过滤配置举例

1. 组网需求

要求通过在Device A的端口GigabitEthernet1/0/1上配置IPv6报文过滤功能，实现在每天的8点到18点期间只允许Host A访问互联网。

2. 组网图

图1-3 应用IPv6 ACL进行报文过滤配置组网图

3. 配置步骤

# 创建名为study的时间段，其时间范围为每天的8点到18点。

<DeviceA> system-view

[DeviceA] time-range study 8:0 to 18:0 daily

# 创建IPv6基本ACL 2009，并制订如下规则：在名为study的时间段内只允许来自Host A的报文通过、禁止来自其他IPv6地址的报文通过。

[DeviceA] acl ipv6 number 2009

[DeviceA-acl6-basic-2009] rule permit source 1001::2 128 time-range study

[DeviceA-acl6-basic-2009] rule deny source any time-range study

[DeviceA-acl6-basic-2009] quit

# 应用IPv6基本ACL 2009对端口GigabitEthernet1/0/1入方向上的报文进行过滤。

[DeviceA] interface GigabitEthernet 1/0/1

[DeviceA-GigabitEthernet1/0/1] packet-filter ipv6 2009 inbound

[DeviceA-GigabitEthernet1/0/1] quit