H3C ACl访问控制配置距离 控制telnet web登陆
1、ACL被上层软件引用典型配置举例数据库
经过源IP对Telnet登陆用户进行控制配置举例
1.组网需求
经过源IP地址对Telnet登陆用户进行控制,仅容许IP地址为10.110.100.52的Telnet用户登陆到交换机。服务器
2.组网图
图1-1经过源IP对Telnet登陆用户进行控制组网图网络
3.配置步骤
#定义基本ACL2000。ide
<Sysname>system-viewui
[Sysname]aclnumber2000spa
[Sysname-acl-basic-2000]rule1permitsource10.110.100.520接口
[Sysname-acl-basic-2000]quitip
#在VTY用户界面引用基本ACL2000,对Telnet登陆用户进行控制。get
[Sysname]user-interfacevty04it
[Sysname-ui-vty0-4]acl2000inbound
经过源IP对WEB登陆用户进行控制配置举例
1.组网需求
经过源IP地址对WEB登陆用户进行控制,仅容许IP地址为10.110.100.46的WEB用户经过HTTP方式访问交换机。
2.组网图
图1-2经过源IP对WEB登陆用户进行控制组网图
3.配置步骤
#定义基本ACL2001。
<Sysname>system-view
[Sysname]aclnumber2001
[Sysname-acl-basic-2001]rule1permitsource10.110.100.460
[Sysname-acl-basic-2001]quit
#配置WEB服务器引用基本ACL2001,对WEB登陆用户进行控制。
[Sysname]iphttpacl2001
2、ACL下发到硬件典型配置举例
基本ACL配置举例
1.组网需求
PC1和PC2经过端口Ethernet1/0/1接入交换机,PC1的IP地址为10.1.1.1。要求配置基本ACL,实如今天天8:00~18:00的时间段内对PC1发出的IP报文进行过滤。
2.组网图
图1-3基本ACL配置组网图
3.配置步骤
#定义周期时间段test,时间范围为天天的8:00~18:00。
<Sysname>system-view
[Sysname]time-rangetest8:00to18:00daily
#定义基本ACL2000,配置源IP地址为10.1.1.1的访问规则。
[Sysname]aclnumber2000
[Sysname-acl-basic-2000]rule1denysource10.1.1.10time-rangetest
[Sysname-acl-basic-2000]quit
#在端口Ethernet1/0/1上应用ACL2000。
[Sysname]interfaceEthernet1/0/1
[Sysname-Ethernet1/0/1]packet-filterinboundip-group2000
高级ACL配置举例
1.组网需求
公司企业网经过交换机实现各部门之间的互连。研发部门由端口Ethernet1/0/1接入交换机,工资查询服务器的地址为192.168.1.2。要求配置高级ACL,禁止研发部门在工做日8:00~18:00的时间段内访问工资查询服务器。
2.组网图
图1-4高级ACL配置组网图
3.配置步骤
#定义周期时间段test,时间范围为工做日的8:00~18:00。
<Sysname>system-view
[Sysname]time-rangetest8:00to18:00working-day
#定义高级ACL3000,配置目的IP地址为工资查询服务器的访问规则。
[Sysname]aclnumber3000
[Sysname-acl-adv-3000]rule1denyipdestination192.168.1.20time-rangetest
[Sysname-acl-adv-3000]quit
#在端口Ethernet1/0/1上应用ACL3000。
[Sysname]interfaceEthernet1/0/1
[Sysname-Ethernet1/0/1]packet-filterinboundip-group3000
二层ACL配置举例
1.组网需求
PC1和PC2经过端口Ethernet1/0/1接入交换机,PC1的MAC地址为0011-0011-0011。要求配置二层ACL,在天天8:00~18:00的时间段内,对PC1发出的目的MAC为0011-0011-0012的报文进行过滤。
2.组网图
图1-5二层ACL配置组网图
3.配置步骤
#定义周期时间段test,时间范围为天天的8:00~18:00。
<Sysname>system-view
[Sysname]time-rangetest8:00to18:00daily
#定义二层ACL4000,配置源MAC为0011-0011-0011,目的MAC为0011-0011-0012的访问规则。
[Sysname]aclnumber4000
[Sysname-acl-ethernetframe-4000]rule1denysource0011-0011-0011ffff-ffff-ffffdest0011-0011-0012ffff-ffff-fffftime-rangetest
[Sysname-acl-ethernetframe-4000]quit
#在端口Ethernet1/0/1上应用ACL4000。
[Sysname]interfaceEthernet1/0/1
[Sysname-Ethernet1/0/1]packet-filterinboundlink-group4000
用户自定义ACL配置举例
1.组网需求
网络环境描述以下:
lPC1的IP地址为192.168.0.2,经过端口Ethernet1/0/1接入交换机;PC2的IP地址为192.168.0.3,经过端口Ethernet1/02接入交换机。
lPC1和PC2属于VLAN1,两者的网关都设置为192.168.0.1(交换机VLAN1接口的IP地址),经过交换机访问Internet。
要求配置用户自定义ACL,在天天8:00~18:00的时间段内,对PC1发出的仿冒网关IP地址的ARP报文进行过滤。
2.组网图
图1-6用户自定义ACL配置组网图
3.配置步骤
#定义周期时间段test,时间范围为天天的8:00~18:00。
<Sysname>system-view
[Sysname]time-rangetest8:00to18:00daily
#定义用户自定义ACL5000,配置源IP地址为192.168.0.1的ARP报文的访问规则(假设没有端口启动VLAN-×××功能)。其中0806为ARP协议号,16为交换机内部处理的以太网报文中协议类型字段的偏移量,c0a80001为192.168.0.1的十六进制形式,32为交换机内部处理的ARP报文中源IP地址字段的偏移量。
[Sysname]aclnumber5000
[Sysname-acl-user-5000]rule1deny0806ffff16c0a80001ffffffff32time-rangetest
#在端口Ethernet1/0/1上应用ACL5000。
[Sysname]interfaceEthernet1/0/1
[Sysname-Ethernet1/0/1]packet-filterinbounduser-group5000
IPv6ACL配置举例
1.组网需求
PC1和PC2经过端口Ethernet1/0/1接入交换机,PC1的IPv6地址为3001::1/64。要求配置IPv6ACL,在天天8:00~18:00的时间段内,对PC1发出的目的IPv6地址为3002::1/64的报文进行过滤。
2.组网图
图1-7IPv6ACL配置组网图
3.配置步骤
#定义周期时间段test,时间范围为天天的8:00~18:00。
<Sysname>system-view
[Sysname]time-rangetest8:00to18:00daily
#定义IPv6ACL5000,配置源地址为3001::1/64,目的地址为3002::1/64的访问规则。
[Sysname]aclnumber5000
[Sysname-acl-user-5000]ruledenysrc-ip3001::164dest-ip3002::164time-rangetest
[Sysname-acl-user-5000]quit
#在端口Ethernet1/0/1上应用IPv6ACL5000。
[Sysname]interfaceEthernet1/0/1
[Sysname-Ethernet1/0/1]packet-filterinbounduser-group5000
在VLAN上应用ACL配置举例
1.组网需求
PC1、PC2和PC3属于VLAN10,分别经过端口Ethernet1/0/1、Ethernet1/0/2和Ethernet1/0/3接入交换机,数据库服务器的IP地址为192.168.1.2。要求配置高级ACL3000,禁止VLAN10内的PC在工做日8:00~18:00的时间段内访问数据库服务器。
2.组网图
图1-8在VLAN上应用ACL配置组网图
3.配置步骤
#定义周期时间段test,时间范围为工做日的8:00~18:00。
<Sysname>system-view
[Sysname]time-rangetest8:00to18:00working-day
#定义高级ACL3000,配置目的IP地址为数据库服务器的访问规则。
[Sysname]aclnumber3000
[Sysname-acl-adv-3000]rule1denyipdestination192.168.1.20time-rangetest
[Sysname-acl-adv-3000]quit
#在VLAN10上应用ACL3000。
[Sysname]packet-filtervlan10inboundip-group3000
- 1. ensp ACL访问控制列表配置
- 2. H3C Cloud Lab——ACL访问控制列表
- 3. ACL访问控制
- 4. 访问控制列表(ACL)
- 5. ACL——访问控制列表
- 6. ACL访问控制列表
- 7. 访问控制列表——ACL
- 8. H3C 单向访问控制
- 9. 访问控制列表ACL
- 10. ACL(访问控制列表)
- 更多相关文章...
- • Swift 访问控制 - Swift 教程
- • ASP.NET MVC - 控制器 - ASP.NET 教程
- • Docker容器实战(六) - 容器的隔离与限制
- • 漫谈MySQL的锁机制
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. ensp ACL访问控制列表配置
- 2. H3C Cloud Lab——ACL访问控制列表
- 3. ACL访问控制
- 4. 访问控制列表(ACL)
- 5. ACL——访问控制列表
- 6. ACL访问控制列表
- 7. 访问控制列表——ACL
- 8. H3C 单向访问控制
- 9. 访问控制列表ACL
- 10. ACL(访问控制列表)