ACL(访问控制列表)经典案例演示

　　如果你是一名网络工程师，相信在你配置网络设备的时候肯定有使用过ACL对设备进行一个有目的控制，如果是刚起步的学习者，或者不太知道ACL到底是什么东西，ACL我们对它的解释就是路由器和交换机接口的指令列表，用来控制端口进出的数据包，告诉路由器哪些数据包可以接收、哪些数据包需要拒绝，保证网络资源不被非法使用和访问，下面将为大家用一个案例来帮助大家巩固加深了解。

　　本文将介绍如何配置H3C交换机典型（ACL）访问控制列表，这种机型案例相信大家会经常遇得到，我们一起，来研究一下！

　　一、首先理解清楚组网需求：

　　1．通过配置基本访问控制列表，实现在每天8:00～18:00时间段内对源IP为10.1.1.2主机发出报文的过滤；

　　2．要求配置高级访问控制列表，禁止研发部门与技术支援部门之间互访，并限制研发部门在上班时间8:00至18:00访问工资查询服务器；

　　3．通过二层访问控制列表，实现在每天8:00～18:00时间段内对源MAC为00e0-fc01-0101的报文进行过滤。

　　二：画出组网的网络拓布图

　　三、基本的配置步骤：

　　H3C3600，5600，5100系列交换机典型访问控制列表配置

　　共用配置

　　步骤一：我们可以根据组网图，首先是要创建四个vlan，然后再对应加入各个端口中，按着步骤一步步来！

　　<H3C>system-view

　　[H3C]vlan10

　　[H3C-vlan10]portGigabitEtherNET1/0/1

　　[H3C-vlan10]vlan20

　　[H3C-vlan20]portGigabitEthernet1/0/2

　　[H3C-vlan20]vlan30

　　[H3C-vlan30]portGigabitEthernet1/0/3

　　[H3C-vlan30]vlan40

　　[H3C-vlan40]portGigabitEthernet1/0/4

　　[H3C-vlan40]quit

　　步骤二：配置各VLAN虚接口地址，需要注意命令不要打错，接口也需要搞清楚！

　　[H3C]interfacevlan10

　　[H3C-Vlan-interface10]ipaddress10.1.1.124

　　[H3C-Vlan-interface10]quit

　　[H3C]interfacevlan20

　　[H3C-Vlan-interface20]ipaddress10.1.2.124

　　[H3C-Vlan-interface20]quit

　　[H3C]interfacevlan30

　　[H3C-Vlan-interface30]ipaddress10.1.3.124

　　[H3C-Vlan-interface30]quit

　　[H3C]interfacevlan40

　　[H3C-Vlan-interface40]ipaddress10.1.4.124

　　[H3C-Vlan-interface40]quit

　　步骤三：根据组网的要求，实现在每天8:00～18:00时间段内对源IP为10.1.1.2主机发出报文的过滤；所以这一步是要定义时间段。

　　[H3C]time-rangehuawei8:00to18:00working-day

　　需求1配置（基本的ACL配置）

　　1．首先是要进入2000号的基本访问控制列表视图，按照下面的命令进入

　　[H3C-GigabitEthernet1/0/1]aclnumber2000

　　2．根据需求，然后再定义访问规则过滤10.1.1.2主机发出的报文

　　[H3C-acl-basic-2000]rule1denysource10.1.1.20time-rangeHuawei

　　3．在接口上应用2000号ACL，依次输入下面的命令

　　[H3C-acl-basic-2000]interfaceGigabitEthernet1/0/1

　　[H3C-GigabitEthernet1/0/1]packet-filterinboundip-group2000

　　[H3C-GigabitEthernet1/0/1]quit

　　需求2配置（属于高级ACL配置）

　　1．首先是要进入3000号的高级访问控制列表视图，输入下面的命令

　　[H3C]aclnumber3000

　　2．然后根据需求，去定义访问规则禁止研发部门与技术支援部门之间互访

　　[H3C-acl-adv-3000]rule1denyiPSource10.1.2.00.0.0.255destination10.1.1.00.0.0.255

　　3．根据要求，需要去定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器

　　[H3C-acl-adv-3000]rule2denyipsourceanydestination129.110.1.20.0.0.0time-rangeHuawei

　　[H3C-acl-adv-3000]quit

　　4．在接口上用3000号ACL

　　[H3C-acl-adv-3000]interfaceGigabitEthernet1/0/2

　　[H3C-GigabitEthernet1/0/2]packet-filterinboundip-group3000

　　需求3配置（需要进行二层ACL配置）

　　1．跟前面的步骤一样，需要进入4000号的二层访问控制列表视图

　　[H3C]aclnumber4000

　　2．依据组网的要求定义访问规则过滤源MAC为00e0-fc01-0101的报文

　　[H3C-acl-ethernetframe-4000]rule1denysource00e0-fc01-0101ffff-ffff-fffftime-rangeHuawei

　　3．在接口上应用4000号ACL

　　[H3C-acl-ethernetframe-4000]interfaceGigabitEthernet1/0/4

　　[H3C-GigabitEthernet1/0/4]packet-filterinboundlink-group4000

　　2H3C5500-SI36105510系列交换机典型访问控制列表配置

　　需求2配置

　　1．和上面的配置一样进入3000号的高级访问控制列表视图

　　[H3C]aclnumber3000

　　2．定义访问规则禁止研发部门与技术支援部门之间互访

　　[H3C-acl-adv-3000]rule1denyipsource10.1.2.00.0.0.255destination10.1.1.00.0.0.255

　　3．定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器

　　[H3C-acl-adv-3000]rule2denyipsourceanydestination129.110.1.20.0.0.0time-rangeHuawei

　　[H3C-acl-adv-3000]quit

　　4．定义流分类

　　[H3C]trafficclassifierabc

　　[H3C-classifier-abc]if-matchacl3000

　　[H3C-classifier-abc]quit

　　5．定义流行为，确定禁止符合流分类的报文

　　[H3C]trafficbehaviorabc

　　[H3C-behavior-abc]filterdeny

　　[H3C-behavior-abc]quit

　　6．定义Qos策略，将流分类和流行为进行关联

　　[H3C]qospolicyabc

　　[H3C-qospolicy-abc]classifierabcbehaviorabc

　　[H3C-qospolicy-abc]quit

　　7．在端口下发Qospolicy

　　[H3C]interfaceg1/1/2

　　[H3C-GigabitEthernet1/1/2]qosapplypolicyabcinbound

　　需要补充说明的几点是：

　　1.ACL只是用来区分数据流，但是permit与deny它是由filter确定；

　　2.在配置的操作中如果是遇到一个端口同时有permit和deny的数据流出现的话，这个时候我们就需要分别定义流分类和流行为，并在同一QoS策略中进行关联的一个操作；

　　3.需要知道的是QoS策略会按照配置顺序将报文和classifier相匹配，当报文和某一个classifier匹配后，执行该classifier所对应的behavior，执行完之后就会结束了，不会再匹配剩下的classifier；

　　4.如果是将QoS策略应用到端口后，系统不允许对应修改义流分类、流行为以及QoS策略，直到取消下发为止。

　　最后来看看配置关键点：

　　1．time-name它是可以自由定义；

　　2．当你去设置访问控制规则以后，需要做的是一定要把规则应用到相应接口上，当你应用的时候就需要去注意inbound方向应与rule中source和destination对应；

　　3．需要知道的是S5600系列交换机只支持inbound方向的规则，所以要注意应用接口的选择；

　　总结：访问控制列表是一个比较实用的功能，利用访问控制列表（ACL）可以限制网络流量、提高网络性能。比如常见的有：ACL可以根据数据包的协议，指定数据包的优先级，并且ACL还将会提供对通信流量的控制手段等，熟练的操作才会发挥其中的功能作用！