- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
20-ACL操作
本章節下載 (286.84 KB)
隨著網絡規模的擴大和流量的增加,對網絡安全的控製和對帶寬的分配成為網絡管理的重要內容。通過對數據包進行過濾,可以有效防止非法用戶對網絡的訪問,同時也可以控製流量,節約網絡資源。ACL(Access Control List,訪問控製列表)即是通過配置對報文的匹配規則和處理操作來實現包過濾的功能。
當交換機的端口接收到報文後,即根據當前端口上應用的ACL規則對報文的字段進行分析,在識別出特定的報文之後,根據預先設定的策略允許或禁止相應的數據包通過。
由ACL定義的數據包匹配規則,也可以被其它需要對流量進行區分的功能引用,如QoS中流分類規則的定義。
ACL通過一係列的匹配條件對數據包進行分類,這些條件可以是數據包的源地址、目的地址、端口號等。根據應用目的,可將ACL分為以下幾種:
l
基本ACL:隻根據數據包的源IP地址製定規則。
l
高級ACL:根據數據包的源IP地址、目的IP地址、IP承載的協議類型、協議特性等三、四層信息製定規則。
l
二層ACL:根據數據包的源MAC地址、目的MAC地址、VLAN優先級、二層協議類型等二層信息製定規則。
l
用戶自定義ACL:以數據包的頭部為基準,指定從第幾個字節開始與掩碼進行“與”操作,將從報文提取出來的字符串和用戶定義的字符串進行比較,找到匹配的報文。
一條ACL中可以包含多個規則,而每個規則都指定不同的報文範圍。這樣,在匹配報文時就會出現匹配順序的問題。
ACL支持兩種匹配順序:
l
配置順序:根據用戶配置規則的先後順序進行規則匹配。
l
自動排序:根據“深度優先”的順序進行規則匹配。
(1)
先比較源IP地址範圍,源IP地址範圍小(反掩碼中“0”位的數量多)的規則優先;
(2)
如果源IP地址範圍相同,則比較是否帶有fragment參數,帶有fragment參數的規則優先;
(3)
如果源IP地址範圍、是否帶有fragment參數這兩個判斷條件也相同,則先配置的規則優先。
(1)
首先比較協議範圍,指定了IP協議承載的協議類型的規則優先;
(2)
如果協議範圍相同,則比較源IP地址範圍,源IP地址範圍小(反掩碼中“0”位的數量多)的規則優先;
(3)
如果協議範圍、源IP地址範圍相同,則比較目的IP地址範圍,目的IP地址範圍小(反掩碼中“0”位的數量多)的規則優先;
(4)
如果協議範圍、源IP地址範圍、目的IP地址範圍相同,則比較四層端口號(TCP/UDP端口號)範圍,四層端口號範圍小的規則優先;
(5)
如果協議範圍、源IP地址範圍、目的IP地址範圍、四層端口號範圍相同,則比較規則中參數的個數,參數個數多的規則優先。
如果規則A與規則B的協議範圍、源IP地址範圍、目的IP地址範圍、四層端口號範圍完全相同,並且其它的參數個數也相同,將按照加權規則進行排序。設備為每個參數設定一個固定的權值,最終的匹配順序由各個參數的權值和參數的取值來決定。各個參數自身的權值從大到小排列為icmp-type、established、dscp、tos、precedence、fragment。比較規則如下:
l
設備以一個固定權值依次減去規則中所配置的各個參數自身的權值,所得結果小的規則優先;
l
如果各個規則中參數種類完全相同,則這些參數取值的累加和小的規則優先。
ACL可以直接下發到交換機的硬件,用於數據轉發過程中的報文過濾和流分類。此時一條ACL中多個規則的匹配順序是由交換機的硬件決定的,對於S5100係列以太網交換機,匹配順序為先下發的規則先匹配。
ACL直接下發到硬件的情況包括:通過ACL過濾轉發數據、配置QoS功能時引用ACL等。
ACL也可以用來對由軟件處理的報文進行過濾和流分類。此時ACL規則的匹配順序有兩種:
l
config:按用戶配置的先後順序。
l
auto:按“深度優先”的順序。
用戶可以在定義ACL的時候指定一條ACL中多個規則的匹配順序。用戶一旦指定某一條ACL的匹配順序,就不能再更改該順序。隻有把該ACL中所有的規則全部刪除後,才能重新指定其匹配順序。
ACL被上層軟件引用的情況包括:路由策略引用ACL、對Telnet、SNMP和WEB登錄用戶進行控製時引用ACL等。
& 說明:
l
當ACL直接下發到硬件對報文進行過濾時,如果報文沒有與ACL中的規則匹配,此時設備對此類報文采取的動作為permit,即允許報文通過。
l
當ACL被上層軟件引用,對Telnet、SNMP和WEB登錄用戶進行控製時,如果報文沒有與ACL中的規則匹配,此時設備對此類報文采取的動作為deny,即拒絕報文通過。
S5100-SI係列以太網交換機支持的ACL如下:
l
基本ACL
l
高級ACL
S5100-EI係列以太網交換機支持的ACL如下:
l
基本ACL
l
高級ACL
l
二層ACL
S5100-SI係列以太網交換機上定義的ACL隻能用於被上層軟件引用的情況,不支持下發到硬件中;S5100-EI係列以太網交換機上定義的ACL支持被上層軟件引用和下發到硬件。
用戶可以根據時間段對報文進行控製。ACL中的每條規則都可以選擇一個時間段。如果規則引用的時間段未配置,則係統給出提示信息,並允許這樣的規則創建成功。但是規則不能立即生效,直到用戶配置了引用的時間段,並且係統時間在指定時間段範圍內才能生效。
對時間段的配置有如下兩種情況:
l
配置周期時間段:采用每個星期固定時間段的形式,例如從星期一至星期五的8:00至18:00。
l
配置絕對時間段:采用從某年某月某日某時某分起至某年某月某日某時某分結束的形式,例如從2000年1月28日15:00起至2004年1月28日15:00結束。
& 說明:
S5100-SI/EI係列以太網交換機支持的絕對時間段範圍從1970/1/1 00:00起至2100/12/31 24:00結束。
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建一個時間段 |
time-range time-name { start-time to end-time days-of-the-week
[ from start-time start-date ] [ to
end-time end-date ] | from start-time start-date [ to
end-time end-date ] | to end-time end-date } |
必選 |
需要注意的是:
l
如果一個時間段隻定義了周期時間段,則隻有係統時鍾在該周期時間段內,該時間段才進入激活狀態。如果一個時間段下定義了多個周期時間段,則這些周期時間段之間是“或”的關係。
l
如果一個時間段隻定義了絕對時間段,則隻有係統時鍾在該絕對時間段內,該時間段才進入激活狀態。如果一個時間段下定義了多個絕對時間段,則這些絕對時間段之間是“或”的關係。
l
如果一個時間段同時定義了絕對時間段和周期時間段,則隻有同時滿足絕對時間段和周期時間段的定義時,該時間段才進入激活狀態。例如,一個時間段定義了絕對時間段:從2004年1月1日0點0分到2004年12月31日23點59分,同時定義了周期時間段:每周三的12:00到14:00。該時間段隻有在2004年內每周三的12:00到14:00才進入激活狀態。
l
配置絕對時間段時,如果不配置開始日期,時間段就是從1970/1/1 00:00起到配置的結束日期為止。如果不配置結束日期,時間段就是從配置的開始日期起到2100/12/31 23:59為止。
# 配置周期時間段,時間範圍為周一到周五每天8:00到18:00。
<H3C> system-view
[H3C] time-range test 8:00 to 18:00 working-day
[H3C] display time-range test
Current time is 13:27:32 Apr/16/2005 Saturday
Time-range : test ( Inactive
)
08:00 to 18:00 working-day
# 配置絕對時間段,時間範圍為2006年1月28日15:00起至2008年1月28日15:00結束。
<H3C> system-view
[H3C] time-range test from 15:00 1/28/2006 to 15:00 1/28/2008
[H3C] display time-range test
Current time is 13:30:32 Apr/16/2005 Saturday
Time-range : test ( Inactive
)
From 15:00 Jan/28/2006 to 15:00 Jan/28/2008
基本ACL隻根據源IP地址製定規則,對數據包進行相應的分析處理。
基本ACL的序號取值範圍為2000~2999。
l
如果要配置帶有時間段參數的規則,則需要定義相應的時間段。定義時間段的配置請參見1.2.1 配置時間段。
l
確定了規則中的源IP地址。
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建並進入基本ACL視圖 |
acl number acl-number [ match-order { auto | config } ] |
必選 缺省情況下,匹配順序為config |
|
定義ACL規則 |
rule [ rule-id ] { deny | permit } [ rule-string
] |
必選 rule-string的具體內容請參見命令手冊 |
|
定義ACL的描述信息 |
description text |
可選 缺省情況下,ACL沒有描述信息 |
需要注意的是:
l
當基本ACL的匹配順序為config時,用戶可以修改該ACL中的任何一條已經存在的規則,在修改ACL中的某條規則時,該規則中沒有修改到的部分仍舊保持原來的狀態;當基本ACL的匹配順序為auto時,用戶不能修改該ACL中的任何一條已經存在的規則,否則係統會提示錯誤信息。
l
在定義一條ACL規則的時候,用戶可以不指定規則的編號,設備將自動為這個規則分配一個編號:如果此ACL中沒有規則,編號為0;如果此ACL中已有規則,編號為現有規則的最大編號+1。
l
新創建或修改後的規則不能和已經存在的規則相同,否則會導致創建或修改不成功,係統會提示該規則已經存在。
l
當基本ACL的匹配順序為auto時,新創建的規則將按照“深度優先”的原則插入到已有的規則中,但是所有規則對應的編號不會改變。
# 配置基本ACL 2000,禁止源IP地址為192.168.0.1的報文通過。
<H3C> system-view
[H3C] acl number 2000
[H3C-acl-basic-2000] rule deny source 192.168.0.1 0
# 顯示基本ACL 2000的配置信息。
[H3C-acl-basic-2000] display acl 2000
Basic ACL 2000, 1 rule
Acl's step is 1
rule 0 deny source 192.168.0.1 0
高級ACL可以使用數據包的源IP地址、目的IP地址、IP承載的協議類型、針對協議的特性(例如TCP或UDP的源端口、目的端口,ICMP協議的消息類型、消息碼等)內容定義規則。
高級ACL序號取值範圍3000~3999(3998與3999是係統為集群管理預留的編號,用戶無法配置)。
高級ACL支持對三種報文優先級的分析處理:ToS(Type of Service,服務類型)優先級、IP優先級和DSCP(Differentiated Services Codepoint,差分服務編碼點)優先級。
用戶可以利用高級ACL定義比基本ACL更準確、更豐富、更靈活的規則。
l
如果要配置帶有時間段參數的規則,則需要定義相應的時間段。定義時間段的配置請參見1.2.1 配置時間段。
l
確定了規則中源IP地址、目的IP、IP承載的協議類型、針對協議的特性等參數的取值。
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建並進入高級ACL視圖 |
acl number acl-number [ match-order { auto | config } ] |
必選 缺省情況下,匹配順序為config |
|
定義ACL規則 |
rule [ rule-id ] { permit | deny } protocol [ rule-string ] |
必選 protocol和rule-string的具體內容請參見命令手冊 |
|
定義ACL規則的注釋信息 |
rule rule-id comment text |
可選 缺省情況下,ACL規則沒有注釋信息 |
|
定義ACL的描述信息 |
description text |
可選 缺省情況下,ACL沒有描述信息 |
需要注意的是:
l
當高級ACL的匹配順序為config時,用戶可以修改該ACL中的任何一條已經存在的規則,在修改ACL中的某條規則時,該規則中沒有修改到的部分仍舊保持原來的狀態;當高級ACL的匹配順序為auto時,用戶不能修改該ACL中的任何一條已經存在的規則,否則係統會提示錯誤信息。
l
在定義一條ACL規則的時候,用戶可以不指定規則的編號,設備將自動為這個規則分配一個編號:如果此ACL中沒有規則,編號為0;如果此ACL中已有規則,編號為現有規則的最大編號+1。
l
新創建或修改後的規則不能和已經存在的規則相同,否則會導致創建或修改不成功,係統會提示該規則已經存在。
l
當高級ACL的匹配順序為auto時,新創建的規則將按照“深度優先”的原則插入到已有的規則中,但是所有規則對應的編號不會改變。
# 配置高級ACL 3000,允許從129.9.0.0/16網段的主機向202.38.160.0/24網段的主機發送的端口號為80的TCP報文通過。
<H3C> system-view
[H3C] acl number 3000
[H3C-acl-adv-3000] rule permit tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq 80
# 顯示高級ACL 3000的配置信息。
[H3C-acl-adv-3000] display acl 3000
Advanced ACL 3000, 1 rule
Acl's step is 1
rule 0 permit tcp source 129.9.0.0 0.0.255.255 destination 202.38.160.0 0.0.0.255 destination-port eq www
二層ACL根據源MAC地址、目的MAC地址、VLAN優先級、二層協議類型等二層信息製定規則,對數據進行相應處理。
二層ACL的序號取值範圍為4000~4999。
l
如果要配置帶有時間段參數的規則,則需要定義相應的時間段。定義時間段的配置請參見1.2.1 配置時間段。
l
確定了規則中源MAC地址、目的MAC地址、VLAN優先級、二層協議類型等參數的取值。
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建並進入二層ACL視圖 |
acl number acl-number |
必選 |
|
定義ACL規則 |
rule [ rule-id ] { permit | deny } [ rule-string ] |
必選 rule-string的具體內容請參見命令手冊 |
|
定義ACL規則的注釋信息 |
rule rule-id comment text |
可選 缺省情況下,ACL規則沒有注釋信息 |
|
定義ACL的描述信息 |
description text |
可選 缺省情況下,ACL沒有描述信息 |
需要注意的是:
l
用戶可以修改二層ACL中的任何一條已經存在的規則,在修改ACL中的某條規則時,該規則中沒有修改到的部分仍舊保持原來的狀態。
l
在定義一條ACL規則的時候,用戶可以不指定規則的編號,設備將自動為這個規則分配一個編號:如果此ACL中沒有規則,編號為0;如果此ACL中已有規則,編號為現有規則的最大編號+1。
l
新創建或修改後的規則不能和已經存在的規則相同,否則會導致創建或修改不成功,係統會提示該規則已經存在。
# 配置二層ACL 4000,禁止從MAC地址000d-88f5-97ed發送到MAC地址011-4301-991e且802.1p優先級為3的報文通過。
<H3C> system-view
[H3C] acl number 4000
[H3C-acl-ethernetframe-4000] rule deny cos 3 source 000d-88f5-97ed ffff-ffff-ffff dest 0011-4301-991e ffff-ffff-ffff
# 顯示二層ACL 4000的配置信息。
[H3C-acl-ethernetframe-4000] display acl 4000
Ethernet frame ACL 4000, 1 rule
Acl's step is 1
rule 0 deny cos excellent-effort source 000d-88f5-97ed ffff-ffff-ffff dest 0011-4301-991e ffff-ffff-ffff
S5100-EI係列以太網交換機支持將ACL下發到硬件,對報文進行包過濾。下發方式如下:
l
全局下發ACL:對所有端口接收的報文應用ACL規則進行包過濾。
l
VLAN下發ACL:對所有端口接收的屬於指定VLAN的報文應用ACL規則進行包過濾。
l
端口組下發ACL:對端口組內所有端口接收的報文應用ACL規則進行包過濾。關於端口組的配置請參見“端口基本配置”部分的介紹。
l
端口下發ACL:對端口接收的報文應用ACL規則進行包過濾。
用戶可以根據不同的需要靈活方便地下發ACL。
注意:
l 當報文同時匹配了全局下發和VLAN下發的ACL中的規則時,如果動作衝突,全局下發的ACL的優先級高於VLAN下發的ACL的優先級,設備會執行全局下發的ACL中定義的動作。
l 當報文同時匹配了全局(或VLAN)下發和端口(或端口組)下發的ACL中的規則時,如果動作衝突,設備會執行deny動作。
l 在全局或VLAN下發ACL時,用戶定義的規則的優先級高於設備默認的處理協議報文規則的優先級,設備會執行用戶定義的規則中的動作,因此可能會影響用戶通過Telnet等方式對設備進行管理。
下發ACL之前需要首先定義ACL。定義ACL的配置請參見1.2.2 定義基本ACL,1.2.3
定義高級ACL,1.2.4
定義二層ACL。
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
全局下發ACL |
packet-filter inbound acl-rule |
必選 acl-rule的具體內容請參見命令手冊 |
# 在全局下發ACL,對所有端口接收的報文應用基本ACL 2000進行包過濾。
<H3C> system-view
[H3C] packet-filter inbound ip-group 2000
下發ACL之前需要首先定義ACL。定義ACL的配置請參見1.2.2 定義基本ACL,1.2.3 定義高級ACL,1.2.4 定義二層ACL。
表1-6 VLAN下發ACL
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
VLAN下發ACL |
packet-filter vlan vlan-id inbound acl-rule |
必選 acl-rule的具體內容請參見命令手冊 |
# 在VLAN 10下發ACL,對所有端口接收的屬於VLAN 10的報文應用基本ACL 2000進行包過濾。
<H3C> system-view
[H3C] packet-filter vlan 10 inbound ip-group 2000
下發ACL之前需要首先定義ACL。定義ACL的配置請參見1.2.2 定義基本ACL,1.2.3 定義高級ACL,1.2.4 定義二層ACL。
表1-7 端口組下發ACL
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入端口組視圖 |
port-group group-id |
- |
|
端口組下發ACL |
packet-filter inbound acl-rule |
必選 acl-rule的具體內容請參見命令手冊 |
& 說明:
在端口組下發ACL後,如果將某一端口加入此端口組,係統會將端口組下發的ACL自動下發到端口上。
# 在端口組1下發ACL,對端口組內所有端口接收的報文應用基本ACL 2000進行包過濾。
<H3C> system-view
[H3C] port-group 1
[H3C-port-group-1] packet-filter inbound ip-group 2000
下發ACL之前需要首先定義ACL。定義ACL的配置請參見1.2.2 定義基本ACL,1.2.3 定義高級ACL,1.2.4 定義二層ACL。
表1-8 端口下發ACL
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入以太網端口視圖 |
interface interface-type interface-number |
- |
|
端口下發ACL |
packet-filter inbound acl-rule |
必選 acl-rule的具體內容請參見命令手冊 |
& 說明:
如果某個端口屬於端口組,則不能在該端口下發ACL。
# 在端口GigabitEthernet
1/0/1下發ACL,對端口接收的報文應用基本ACL 2000進行包過濾。
<H3C> system-view
[H3C] interface GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1] packet-filter inbound ip-group 2000
完成上述配置後,在任意視圖下執行display命令,可以顯示配置ACL後的運行情況。通過查看顯示信息,用戶可以驗證配置的效果。
表1-9 ACL的顯示
|
操作 |
命令 |
說明 |
|
顯示配置的ACL規則 |
display acl { all | acl-number } |
display命令可以在任意視圖下執行 |
|
顯示時間段 |
display time-range { all | time-name } |
|
|
顯示包過濾的應用信息 |
display packet-filter { global | interface interface-type interface-number | port-group [
group-id ] | unitid unit-id | vlan
[ vlan-id ] } |
|
|
顯示ACL剩餘表項資源 |
display acl remaining entry |
通過源IP地址對Telnet登錄用戶進行控製,僅允許IP地址為10.110.100.52的Telnet用戶登錄到交換機。
圖1-1 通過源IP對Telnet登錄用戶進行控製組網圖
# 定義基本ACL 2000。
<H3C> system-view
[H3C] acl number 2000 match-order config
[H3C-acl-basic-2000] rule 1 permit source 10.110.100.52 0
[H3C-acl-basic-2000] quit
# 在VTY用戶界麵引用基本ACL 2000,對Telnet登錄用戶進行控製。
[H3C] user-interface vty 0 4
[H3C-ui-vty0-4] acl 2000 inbound
通過源IP地址對WEB登錄用戶進行控製,僅允許IP地址為10.110.100.46的WEB用戶通過HTTP方式訪問交換機。
圖1-2 通過源IP對WEB登錄用戶進行控製組網圖
# 定義基本ACL 2001。
<H3C> system-view
[H3C] acl number 2001 match-order config
[H3C-acl-basic-2001] rule 1 permit source 10.110.100.46 0
[H3C-acl-basic-2001] quit
# 配置WEB服務器引用基本ACL 2001,對WEB登錄用戶進行控製。
[H3C] ip http acl 2001
PC 1和PC 2通過端口GigabitEthernet1/0/1接入交換機,PC 1的IP地址為10.1.1.1。要求配置基本ACL,實現在每天8:00~18:00的時間段內對PC 1發出的IP報文進行過濾。
圖1-3 基本ACL配置組網圖
# 定義周期時間段test,時間範圍為每天的8:00~18:00。
<H3C> system-view
[H3C] time-range test 8:00 to 18:00 daily
# 定義基本ACL 2000,配置源IP地址為10.1.1.1的訪問規則。
[H3C] acl number 2000
[H3C-acl-basic-2000] rule 1 deny source 10.1.1.1 0 time-range test
[H3C-acl-basic-2000] quit
# 在端口GigabitEthernet1/0/1上應用ACL 2000。
[H3C] interface GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1] packet-filter inbound ip-group 2000
公司企業網通過Switch的端口實現各部門之間的互連。研發部門由端口GigabitEthernet1/0/1接入交換機,工資查詢服務器的地址為192.168.1.2。要求配置高級ACL,禁止研發部門在工作日8:00~18:00的時間段內訪問工資查詢服務器。
圖1-4 高級ACL配置組網圖
# 定義周期時間段test,時間範圍為工作日的8:00~18:00。
<H3C> system-view
[H3C] time-range test 8:00 to 18:00 working-day
# 定義高級ACL 3000,配置目的IP地址為工資服務器的訪問規則。
[H3C] acl number 3000
[H3C-acl-adv-3000] rule 1 deny ip destination 192.168.1.2 0 time-range test
[H3C-acl-adv-3000] quit
# 在端口GigabitEthernet1/0/1上應用ACL 3000。
[H3C] interface GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1] packet-filter inbound ip-group 3000
PC 1和PC 2通過端口GigabitEthernet1/0/1接入交換機,PC 1的MAC地址為000f-e20f-0101。要求配置二層ACL,在每天8:00~18:00的時間段內,對PC 1發出的目的MAC為000f-e20f-0303的報文進行過濾。
圖1-5 二層ACL配置組網圖
# 定義周期時間段test,時間範圍為每天的8:00~18:00。
<H3C> system-view
[H3C] time-range test 8:00 to 18:00 daily
# 定義二層ACL 4000,配置源MAC為000f-e20f-0101,目的MAC為000f-e20f-0303的訪問規則。
[H3C] acl number 4000
[H3C-acl-ethernetframe-4000] rule 1 deny source 000f-e20f-0101 ffff-ffff-ffff dest 000f-e20f-0303 ffff-ffff-ffff time-range test
[H3C-acl-ethernetframe-4000] quit
# 在端口GigabitEthernet 1/0/1上應用ACL 4000。
[H3C] interface GigabitEthernet1/0/1
[H3C-GigabitEthernet1/0/1] packet-filter inbound link-group 4000
PC 1、PC 2和PC 3屬於VLAN 10,分別通過端口GigabitEthernet
1/0/1、GigabitEthernet 1/0/2和GigabitEthernet 1/0/3接入交換機,數據庫服務器的IP地址為192.168.1.2。要求配置高級ACL 3000,禁止VLAN 10內的PC在工作日8:00~18:00的時間段內訪問數據庫服務器。
圖1-6 在VLAN上應用ACL配置組網圖
# 定義周期時間段test,時間範圍為工作日的8:00~18:00。
<H3C> system-view
[H3C] time-range test 8:00 to 18:00 working-day
# 定義高級ACL 3000,配置目的IP地址為數據庫服務器的訪問規則。
[H3C] acl number 3000
[H3C-acl-adv-3000] rule 1 deny ip destination 192.168.1.2 0 time-range test
[H3C-acl-adv-3000] quit
# 在VLAN 10上應用ACL 3000。
[H3C] packet-filter vlan 10 inbound ip-group 3000
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
