1 配置需求或说明

1.1适用产品系列

本案例适用于如MSR800、MSR830、MSR900、MSR900E、MSR930等MSR800、MSR830、MSR900、MSR930系列的路由器。

1.2配置需求及实现的效果

MSR路由器作为下面三个网段，10.1.10.0/24网段、10.1.20.0/24网段和1.1.1.0/24网段的网关。通过配置ACL，不仅允许1.1.1.0/24网段的用户访问10.1.10.0/24网段的服务器。网关地址分别为interface Vlan-interface1 1.1.1.1/24，interface Vlan-interface10 10.1.10.1/24，interface Vlan-interface20 10.1.20.1/24。

2 组网图

3 配置步骤

3.1配置acl，接口下下发过滤策略，调用acl

 system-view

#  使能防火墙功能

[H3C] firewall enable

# 创建IPv4高级ACL 3000，配置两条规则，分别为允许源地址为1.1.10/24网段，目的地址为10.1.10.0/24网段的IP报文通过，以及拒绝其它IP报文通过。

 [H3C] acl number 3000

[H3C-acl-ipv4-adv-3000] rule deny ip destination 10.1.10.0 0.0.0.255

[H3C-acl-ipv4-adv-3000] rule permit ip  

[H3C-acl-ipv4-adv-3000] quit

# 配置包过滤功能，应用IPv4高级ACL 3000，对网关接口收到的IP报文进行过滤。

[H3C] interface Vlan-interface1

[H3C-Vlan-interface1] firewall packet-filter 3000 inbound

3.2检查配置效果

在1.1.1.0/24网段的主机上以10.1.10.0/24网段内的服务器为目的进行ping操作，返回请求超时信息；ping其它网段的主机，此操作返回正常应答信息。

4 保存配置信息

        [H3C]save force