msr 2600 http做了acl但是不生效

您的 ACL 配置有几个关键问题导致不生效。以下是修正后的完整配置方案：
# =====================================================
# 华三 MSR2600 HTTP/HTTPS ACL 正确配置
# =====================================================
system-view

# 1. 删除现有错误配置
undo acl advanced name http
undo ip http acl
undo ip https acl

# 2. 创建新的高级 ACL
acl advanced name HTTP_ACL # 使用有意义的名称
description "HTTP/HTTPS Access Control"
rule 5 permit ip source 172.16.113.0 0.0.0.255 # 允许特定网段
rule 10 deny ip # 拒绝所有其他IP
quit

# 3. 应用 ACL 到 HTTP/HTTPS 服务
ip http acl name HTTP_ACL
ip https acl name HTTP_ACL

# 4. 启用 HTTP/HTTPS 服务
ip http enable
ip https enable

# 5. 保存配置
save force
原配置问题分析
1. ACL 命名冲突
您创建了两个同名的 ACL：http
华三设备不允许 ACL 名称重复
2. ACL 类型错误
您混合使用了基本 ACL (acl advance) 和高级 ACL (acl advanced)
HTTP/HTTPS 服务需要高级 ACL
3. 规则顺序问题
规则 20 的 deny ip应该放在最后
ACL 规则按序号从小到大执行
4. 语法错误
d name http是无效命令
http_https行缺少命令前缀
验证配置是否生效
1. 检查 ACL 配置
display acl advanced name HTTP_ACL
# 应显示：
# Advanced ACL HTTP_ACL, 2 rules
# rule 5 permit ip source 172.16.113.0 0.0.0.255
# rule 10 deny ip
2. 检查 HTTP/HTTPS 服务配置
display ip http
# 应显示：HTTP ACL: HTTP_ACL

display ip https
# 应显示：HTTPS ACL: HTTP_ACL
3. 测试访问控制
# 从允许的网段测试 (172.16.113.0/24)
telnet 172.16.113.1 80 # 测试 HTTP
telnet 172.16.113.1 443 # 测试 HTTPS

# 从不允许的网段测试 (如 172.16.114.1)
telnet 172.16.114.1 80 # 应被拒绝
高级配置建议
1. 添加更多安全规则
acl advanced name HTTP_ACL
# 允许管理网段
rule 5 permit ip source 172.16.113.0 0.0.0.255

# 允许特定管理主机
rule 6 permit ip source 192.168.1.100 0

# 拒绝所有其他IP
rule 100 deny ip
quit
2. 结合时间段控制
# 创建时间段
time-range WORKING_HOURS 08:00 to 18:00 working-day

# 应用时间段到ACL
acl advanced name HTTP_ACL
rule 5 permit ip source 172.16.113.0 0.0.0.255 time-range WORKING_HOURS
rule 10 deny ip
quit
3. 启用日志记录
acl advanced name HTTP_ACL
rule 5 permit ip source 172.16.113.0 0.0.0.255 logging
rule 10 deny ip logging
quit
常见问题排查
如果 ACL 仍然不生效：
​​检查默认策略​​：
display current-configuration | include "ip http"
display current-configuration | include "ip https"
​​检查接口应用​​：
display ip interface brief
# 确保ACL应用到正确的接口
​​检查规则顺序​​：
display acl advanced name HTTP_ACL
# 确保deny规则在最后
​​测试基本连通性​​：
# 从客户端测试
ping 172.16.113.1
telnet 172.16.113.1 80
最终配置示例
system-view
# 清除现有配置
undo acl advanced name http
undo ip http acl
undo ip https acl

# 创建新ACL
acl advanced name MGMT_ACCESS
description "HTTP/HTTPS Management Access"
rule 5 permit ip source 172.16.113.0 0.0.0.255
rule 10 permit ip source 192.168.1.100 0
rule 100 deny ip logging
quit

# 应用ACL
ip http acl name MGMT_ACCESS
ip https acl name MGMT_ACCESS

# 启用服务
ip http enable
ip https enable

# 保存配置
save force

打开你的电脑，在浏览器输入知了社区，找到这个帖子，要么在别人下面评论，要么点我的头像。

配置没问题，是否ACL有其他地方优先匹配了，仔细排查下

7.4.2  对Web用户的控制典型配置举例1. 组网需求

通过源IP对Web用户进行控制，仅允许来自10.110.100.52的Web用户访问设备。

2. 组网图

图7-2 对Device的HTTP用户进行ACL控制

‌

3. 配置步骤

# 定义基本访问控制列表。

<Sysname> system-view

[Sysname] acl basic 2030 match-order config

[Sysname-acl-ipv4-basic-2030] rule 1 permit source 10.110.100.52 0

# 引用访问控制列表，仅允许来自10.110.100.52的Web用户访问设备。

[Sysname] ip http acl 2030

4. 验证配置

在Host B上打开浏览器，输入https://10.110.110.66，按下回车，打开Web用户登录界面，输入用户名和密码后，按下<登录>按钮，进入设备配置管理Web界面。在Host A上打开浏览器，输入https://10.110.110.66，按下回车，打开Web用户登录界面，输入用户名和密码后，按下<登录>按钮，无法进入设备配置管理Web界面。

我用模拟器做是可以的，主要配置如下：

acl ba 2000

rule permit source 172.16.113.0 0.0.0.255

ip http acl 2000

ip http enable

ip https acl 2000

ip https enable