系统集成论坛

标题: h3c配置ACL通过指定的TCP协议过滤流量配置 [打印本页]

作者: huangban 时间: 2018-8-15 17:00
标题: h3c配置ACL通过指定的TCP协议过滤流量配置
配置ACL通过指定的TCP协议过滤流量配置

配置接口的 IP 地址
# 配置接口 GigabitEthernet2/0/1 的 IP 地址。
[Device] interface gigabitethernet 2/0/1
[Device-GigabitEthernet2/0/1] ip address 100.1.1.1 24
(2) 配置管理部的网络权限
# 创建 IPv4 高级 ACL 3000。
system-view
[Device] acl number 3000
# 创建规则，允许源地址为 100.1.1.2、目的地址为 10.1.1.0/24 网段、目的 TCP 端口号大于 1023、
且 ACK 或 RST 位置位的报文通过。
[Device-acl-adv-3000] rule permit tcp established source 100.1.1.2 0 destination
10.1.1.0 0.0.0.255 destination-port gt 1023
# 创建规则，拒绝源地址为 100.1.1.0/24、目的地址为 10.1.1.0/24 网段的 TCP 报文通过。
[Device-acl-adv-3000] rule deny tcp source 100.1.1.0 0.0.0.255 destination 10.1.1.0
0.0.0.255
# 创建规则，拒绝源地址为 100.1.1.3 的 FTP 报文通过。
[Device-acl-adv-3000] rule deny tcp source 100.1.1.3 0 source-port range 20 21
[Device-acl-adv-3000] quit
# 配置包过滤功能，应用 IPv4 高级 ACL 3000 对端口 GigabitEthernet2/0/3 发出的报文进行过滤。
[Device] interface gigabitethernet 2/0/3
[Device-GigabitEthernet2/0/3] packet-filter 3000 outbound
[Device-GigabitEthernet2/0/3] quit
(3) 配置研发部的网络权限
# 创建 IPv4 高级 ACL 3001，配置规则拒绝源地址为 100.1.1.2 的 HTTP 报文通过。
[Device] acl number 3001
[Device-acl-adv-3001] rule deny tcp source 100.1.1.2 0 source-port eq 80
[Device-acl-adv-3001] quit
# 配置包过滤功能，应用 IPv4 高级 ACL 3001 对端口 GigabitEthernet2/0/2 发出的报文进行过滤。
[Device] interface gigabitethernet 2/0/2
[Device-GigabitEthernet2/0/2] packet-filter 3001 outbound
[Device-GigabitEthernet2/0/2] quit

欢迎光临系统集成论坛 (http://bbs.xtjc.com/)