华三 h3c ACL配置

大家好，欢迎来到IT知识分享网。

基本的配置不做阐述，这里使用rip来进行全网连通

R1

[R1]rip

[R1-rip-1]net 192.168.1.0 0.0.0.255

[R1-rip-1]net 192.168.2.0 0.0.0.255

[R1-rip-1]ver 2

[R1-rip-1]un su

R2

[R2-rip-1]net 192.168.2.0 0.0.0.255

[R2-rip-1]net 192.168.3.0 0.0.0.255

[R2-rip-1]ver 2

[R2-rip-1]un su

此时的PC之间可以ping通

一：基本ACL的使用

在R1上创建一个基本acl，拒绝PCA访问PCB

[R1]acl basic 2000—–注意，如果你看的是华三网络学院系列的教材，会发现它的acl关键字是number，在v7版本是行不通的，普通的变成basic，高级的为advanced

[R1-acl-ipv4-basic-2000]rule 1 deny source 192.168.1.0 0.0.0.255—定义规则1拒绝来自192.168.1.0 子网掩码为24位的流量

[R1-GigabitEthernet0/1]packet-filter 2000 outbound—-在出接口上应用此acl

再去PCA上pingPCB，会发现ping不通；但是在R1上依然可以ping PCB

二：高级ACL的使用

在R1配置高级ACL，使能R1不能通过FTP到R2上面

先在R2上开启ftp功能

[R2]local-user h3c—-ftp用户名为h3c

[R2-luser-manage-h3c]password simple 123–密码为123

[R2-luser-manage-h3c]service-type ftp—-用于ftp用户登录使用

[R2-luser-manage-h3c]authorization-attribute user-role network-admin—-设置为最高权限

在R1上可以使用ftp登录到R2上了

在R1上配置高级ACL

[R1]acl advanced 3000

[R1-acl-ipv4-adv-3000]rule 1 deny tcp source 192.168.2.1 0 destination 192.168.2.2 0 destination-port eq ftp—-拒绝来自192.168.2.1的客户端ftp到192.168.2.2的ftp服务器上

[R1-GigabitEthernet0/1]packet-filter 3000 outbound—-在接口上应用

再R1上可以ping R2，但是使用ftp功能，系统会提示你无法执行

<R1>ftp 192.168.2.2

Press CTRL+C to abort.

ACL访问控制列表

1.基本访问控制列表（列表号2000-2999）

特点：只看源不看目的

      针对所有流量统一控制

2.高级访问控制列表（列表号3000-3999）

特点：不仅看源还看目的

      针对不同流量可以做不同行为控制

注意：删除ACL相关配置先删除acl undo acl basic 2000

在进到端口里面删除 undo packet-filter 2000 inbound

特别是高级ACL，可以针对多种协议进行流浪监管，可以自己通过敲？的形式查看有哪些协议。这里就不一一展示了。