华三MSR30-11路由器接口应用acl问题
- 0关注
- 0收藏,63浏览
在 MSR30-11 上,ACL 的调用确实和多数 H3C 设备不太一样。traffic-filter 和 packet-filter 这类命令,属于 Comware V7 平台的通用命令,MSR30-11 这类早期的 V5 平台设备通常不支持。
以下是 MSR30-11 上几种可行的 ACL 调用方式,可以根据实际需求来选择:
方式一:firewall packet-filter (最常用,支持标准/高级ACL)
这是 MSR30-11 路由器上最标准的做法。其命令格式为 firewall packet-filter { acl-number } { inbound | outbound }。具体的配置步骤如下:
确认接口为三层模式并开启防火墙:
确保接口处于路由模式(port link-mode route),且全局防火墙功能已开启(firewall enable)。配置并应用 ACL:
[router] acl number 3000 [router-acl-adv-3000] rule deny ip source 192.168.1.100 0 [router-acl-adv-3000] rule permit ip [router-acl-adv-3000] quit # 进入接口应用 ACL [router] interface GigabitEthernet 0/1 [router-GigabitEthernet0/1] firewall packet-filter 3000 inbound # 在入方向应用# 创建高级 ACL 3000,拒绝特定主机访问
方式二:QoS 策略 (功能更强大,支持复杂流分类)
如果需求较复杂,比如要对不同流量执行除“允许/拒绝”外的更多动作,可以用 QoS 策略。其核心逻辑是:创建一个流分类匹配 ACL,创建一个流行为定义动作(如过滤),再将它们绑定成一个策略,最后应用到接口。具体步骤如下:
定义流分类 (Classifier),匹配 ACL:
[router-classifier-3000] if-match acl 3000[router] traffic classifier 3000定义流行为 (Behavior),设置动作:
[router-behavior-deny] filter deny[router] traffic behavior deny定义 QoS 策略 (Policy),将类和动作关联:
[router-qospolicy-test] classifier 3000 behavior deny[router] qos policy test在接口应用 QoS 策略:
[router-GigabitEthernet0/1] qos apply policy test inbound[router] interface GigabitEthernet 0/1
参考手册 首页支持文档与软件文档中心路由器H3C MSR系列开放多业务路由器H3C MSR 30 路由器
版本链接 首页支持文档与软件软件下载路由器H3C MSR 系列路由器H3C MSR 3011 路由器
打开你的电脑,在浏览器输入知了社区,找到这个帖子,要么在别人下面评论,要么点我的头像。
暂无评论
traffic-filter 或 packet-filter 是正常现象,因为 V5 版本使用 firewall 系列命令 来在接口下应用 ACL。一、标准解决方案:firewall packet-filter(V5 专用)
system-view
firewall enable // 必选!全局开启IPv4防火墙
interface GigabitEthernet0/1 // 进入你的三层口
port link-mode route // 确认是三层模式
firewall packet-filter 3000 inbound // 入方向应用ACL 3000
firewall packet-filter 3000 outbound // 出方向应用ACL 3000
- 命令格式:
firewall packet-filter <ACL编号> {inbound | outbound} - 取消配置:
undo firewall packet-filter <ACL编号> {inbound | outbound}
二、其他可用方案(根据需求选择)
方案 1:过滤二层报文(MAC 地址)
interface GigabitEthernet0/1
firewall ethernet-frame-filter 4000 inbound // 应用二层ACL 4000
方案 2:全局应用 ACL(整台设备生效)
system-view
firewall packet-filter 3000 global inbound
方案 3:通过 QoS 策略调用(复杂流分类)
# 1. 定义流分类
traffic classifier 3000
if-match acl 3000
# 2. 定义流行为
traffic behavior deny
filter deny
# 3. 定义QoS策略
qos policy test
classifier 3000 behavior deny
# 4. 在接口应用策略
interface GigabitEthernet0/1
qos apply policy test inbound
三、常见问题排查
- 命令不存在
- 确认系统版本:
display version。MSR30-11 多为 V5,必须用firewall命令。 - 确认权限:使用
system-view管理员模式。
- 确认系统版本:
- 配置不生效
- 必备步骤:必须先执行
firewall enable。 - ACL 规则:确保 ACL 内有
permit/deny规则,且最后未隐含deny ip any any。 - 方向正确:确认是
inbound(入站)还是outbound(出站)。
- 必备步骤:必须先执行
四、V5 与 V7 命令对比
| 系统版本 | 接口应用 ACL 命令 |
|---|---|
| V5 (MSR30-11) | firewall packet-filter 3000 inbound |
| V7 (新设备) | packet-filter 3000 inbound |
firewall enable // 全局开启
firewall packet-filter <ACL> <方向> // 接口下应用暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论