H3C ACl訪問控制配置距離 控制telnet web登陸

1、ACL被上層軟件引用典型配置舉例數據庫

經過源IPTelnet登陸用戶進行控制配置舉例

1.組網需求

經過源IP地址對Telnet登陸用戶進行控制,僅容許IP地址爲10.110.100.52Telnet用戶登陸到交換機。服務器

2.組網圖

圖1-1經過源IPTelnet登陸用戶進行控制組網圖網絡

20100426_966403_p_w_picpath002_672741_30005_0.

3.配置步驟

#定義基本ACL2000ide

<Sysname>system-viewui

[Sysname]aclnumber2000spa

[Sysname-acl-basic-2000]rule1permitsource10.110.100.520接口

[Sysname-acl-basic-2000]quitip

#VTY用戶界面引用基本ACL2000,對Telnet登陸用戶進行控制。get

[Sysname]user-interfacevty04it

[Sysname-ui-vty0-4]acl2000inbound

經過源IPWEB登陸用戶進行控制配置舉例

1.組網需求

經過源IP地址對WEB登陸用戶進行控制,僅容許IP地址爲10.110.100.46WEB用戶經過HTTP方式訪問交換機。

2.組網圖

圖1-2經過源IPWEB登陸用戶進行控制組網圖

20100426_966404_p_w_picpath003_672741_30005_0.

3.配置步驟

#定義基本ACL2001

<Sysname>system-view

[Sysname]aclnumber2001

[Sysname-acl-basic-2001]rule1permitsource10.110.100.460

[Sysname-acl-basic-2001]quit

#配置WEB服務器引用基本ACL2001,對WEB登陸用戶進行控制。

[Sysname]iphttpacl2001

2、ACL下發到硬件典型配置舉例

基本ACL配置舉例

1.組網需求

PC1PC2經過端口Ethernet1/0/1接入交換機,PC1IP地址爲10.1.1.1。要求配置基本ACL,實如今天天8:0018:00的時間段內對PC1發出的IP報文進行過濾。

2.組網圖

圖1-3基本ACL配置組網圖

20100426_966405_p_w_picpath004_672741_30005_0.

3.配置步驟

#定義週期時間段test,時間範圍爲天天的8:0018:00

<Sysname>system-view

[Sysname]time-rangetest8:00to18:00daily

#定義基本ACL2000,配置源IP地址爲10.1.1.1的訪問規則。

[Sysname]aclnumber2000

[Sysname-acl-basic-2000]rule1denysource10.1.1.10time-rangetest

[Sysname-acl-basic-2000]quit

#在端口Ethernet1/0/1上應用ACL2000

[Sysname]interfaceEthernet1/0/1

[Sysname-Ethernet1/0/1]packet-filterinboundip-group2000

高級ACL配置舉例

1.組網需求

公司企業網經過交換機實現各部門之間的互連。研發部門由端口Ethernet1/0/1接入交換機,工資查詢服務器的地址爲192.168.1.2。要求配置高級ACL,禁止研發部門在工做日8:0018:00的時間段內訪問工資查詢服務器。

2.組網圖

圖1-4高級ACL配置組網圖

20100426_966406_p_w_picpath005_672741_30005_0.

3.配置步驟

#定義週期時間段test,時間範圍爲工做日的8:0018:00

<Sysname>system-view

[Sysname]time-rangetest8:00to18:00working-day

#定義高級ACL3000,配置目的IP地址爲工資查詢服務器的訪問規則。

[Sysname]aclnumber3000

[Sysname-acl-adv-3000]rule1denyipdestination192.168.1.20time-rangetest

[Sysname-acl-adv-3000]quit

#在端口Ethernet1/0/1上應用ACL3000

[Sysname]interfaceEthernet1/0/1

[Sysname-Ethernet1/0/1]packet-filterinboundip-group3000

二層ACL配置舉例

1.組網需求

PC1PC2經過端口Ethernet1/0/1接入交換機,PC1MAC地址爲0011-0011-0011。要求配置二層ACL,在天天8:0018:00的時間段內,對PC1發出的目的MAC0011-0011-0012的報文進行過濾。

2.組網圖

圖1-5二層ACL配置組網圖

20100426_966407_p_w_picpath006_672741_30005_0.

3.配置步驟

#定義週期時間段test,時間範圍爲天天的8:0018:00

<Sysname>system-view

[Sysname]time-rangetest8:00to18:00daily

#定義二層ACL4000,配置源MAC0011-0011-0011,目的MAC0011-0011-0012的訪問規則。

[Sysname]aclnumber4000

[Sysname-acl-ethernetframe-4000]rule1denysource0011-0011-0011ffff-ffff-ffffdest0011-0011-0012ffff-ffff-fffftime-rangetest

[Sysname-acl-ethernetframe-4000]quit

#在端口Ethernet1/0/1上應用ACL4000

[Sysname]interfaceEthernet1/0/1

[Sysname-Ethernet1/0/1]packet-filterinboundlink-group4000

用戶自定義ACL配置舉例

1.組網需求

網絡環境描述以下:

lPC1IP地址爲192.168.0.2,經過端口Ethernet1/0/1接入交換機;PC2IP地址爲192.168.0.3,經過端口Ethernet1/02接入交換機。

lPC1PC2屬於VLAN1,兩者的網關都設置爲192.168.0.1(交換機VLAN1接口的IP地址),經過交換機訪問Internet

要求配置用戶自定義ACL,在天天8:0018:00的時間段內,對PC1發出的仿冒網關IP地址的ARP報文進行過濾。

2.組網圖

圖1-6用戶自定義ACL配置組網圖

20100426_966408_p_w_picpath007_672741_30005_0.

3.配置步驟

#定義週期時間段test,時間範圍爲天天的8:0018:00

<Sysname>system-view

[Sysname]time-rangetest8:00to18:00daily

#定義用戶自定義ACL5000,配置源IP地址爲192.168.0.1ARP報文的訪問規則(假設沒有端口啓動VLAN-×××功能)。其中0806ARP協議號,16爲交換機內部處理的以太網報文中協議類型字段的偏移量,c0a80001192.168.0.1的十六進制形式,32爲交換機內部處理的ARP報文中源IP地址字段的偏移量。

[Sysname]aclnumber5000

[Sysname-acl-user-5000]rule1deny0806ffff16c0a80001ffffffff32time-rangetest

#在端口Ethernet1/0/1上應用ACL5000

[Sysname]interfaceEthernet1/0/1

[Sysname-Ethernet1/0/1]packet-filterinbounduser-group5000

IPv6ACL配置舉例

1.組網需求

PC1PC2經過端口Ethernet1/0/1接入交換機,PC1IPv6地址爲3001::1/64。要求配置IPv6ACL,在天天8:0018:00的時間段內,對PC1發出的目的IPv6地址爲3002::1/64的報文進行過濾。

2.組網圖

圖1-7IPv6ACL配置組網圖

20100426_966409_p_w_picpath008_672741_30005_0.

3.配置步驟

#定義週期時間段test,時間範圍爲天天的8:0018:00

<Sysname>system-view

[Sysname]time-rangetest8:00to18:00daily

#定義IPv6ACL5000,配置源地址爲3001::1/64,目的地址爲3002::1/64的訪問規則。

[Sysname]aclnumber5000

[Sysname-acl-user-5000]ruledenysrc-ip3001::164dest-ip3002::164time-rangetest

[Sysname-acl-user-5000]quit

#在端口Ethernet1/0/1上應用IPv6ACL5000

[Sysname]interfaceEthernet1/0/1

[Sysname-Ethernet1/0/1]packet-filterinbounduser-group5000

VLAN上應用ACL配置舉例

1.組網需求

PC1PC2PC3屬於VLAN10,分別經過端口Ethernet1/0/1Ethernet1/0/2Ethernet1/0/3接入交換機,數據庫服務器的IP地址爲192.168.1.2。要求配置高級ACL3000,禁止VLAN10內的PC在工做日8:0018:00的時間段內訪問數據庫服務器。

2.組網圖

圖1-8VLAN上應用ACL配置組網圖

20100426_966410_p_w_picpath009_672741_30005_0.

3.配置步驟

#定義週期時間段test,時間範圍爲工做日的8:0018:00

<Sysname>system-view

[Sysname]time-rangetest8:00to18:00working-day

#定義高級ACL3000,配置目的IP地址爲數據庫服務器的訪問規則。

[Sysname]aclnumber3000

[Sysname-acl-adv-3000]rule1denyipdestination192.168.1.20time-rangetest

[Sysname-acl-adv-3000]quit

#VLAN10上應用ACL3000

[Sysname]packet-filtervlan10inboundip-group3000

相關文章
相關標籤/搜索