H3C交换机配置ACL并应用到vlan中

在 H3C 交换机上，可以通过配置 ACL（访问控制列表）并将其应用到 VLAN 中，实现对 VLAN 内流量的控制。以下是详细的配置步骤：

场景描述

• VLAN：VLAN 10
• ACL：限制 VLAN 10 内的主机访问外部网络（如 192.168.2.0/24）。
• - 接口：VLAN 10 的虚拟接口（VLAN-interface 10）。

配置步骤

1. 创建 ACL

创建一个高级 ACL（3000 系列），定义需要过滤的流量。

acl advanced 3000
 rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
 rule 10 permit ip

• rule 5：拒绝从 192.168.1.0/24 到 192.168.2.0/24 的流量。

- rule 10：允许其他所有流量。

2. 将 ACL 应用到 VLAN 接口

将 ACL 应用到 VLAN 10 的虚拟接口（VLAN-interface 10）上。

interface Vlan-interface 10
 packet-filter 3000 inbound

• - packet-filter 3000 inbound：将 ACL 3000 应用到 VLAN 10 的入方向流量。

3. 验证配置

完成配置后，使用以下命令验证 ACL 是否生效：

display acl 3000          # 查看 ACL 规则
display packet-filter interface Vlan-interface 10  # 查看接口的 ACL 应用情况

完整配置示例

acl advanced 3000
 rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
 rule 10 permit ip
interface Vlan-interface 10
 packet-filter 3000 inbound

注意事项

1. ACL 规则顺序：

• ACL 规则按序号从小到大匹配，匹配到规则后不再继续匹配。
• 确保规则顺序正确，避免误拦截或放行流量。

1. 方向选择：

• inbound：过滤进入 VLAN 接口的流量。
• outbound：过滤从 VLAN 接口出去的流量。

1. 默认规则：

• 如果未明确允许流量，默认会拒绝所有流量。因此，建议在 ACL 末尾添加 permit 规则。

1. 性能影响：

• - ACL 会增加交换机的处理负担，建议合理规划规则数量。

扩展配置

如果需要更复杂的流量控制，可以结合以下功能：

1. 基于时间的 ACL：

   time-range Work-Time 08:00 to 18:00 working-day
   acl advanced 3000
    rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 time-range Work-Time

2. 基于协议的 ACL：

   acl advanced 3000
    rule 5 deny tcp source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 destination-port eq 80

3. 应用到多个 VLAN：
   如果需要将 ACL 应用到多个 VLAN，可以重复步骤 2，将 ACL 应用到其他 VLAN 接口。
   如果需要进一步的帮助，请提供具体的需求或问题描述，我可以帮助您优化配置！

Mr丶点心永久会员

打赏 收藏 海报 链接