投稿
  1. 酷盾安全首页
  2. 运维教程
  3. 电脑教程

H3C ACL配置命令指南

酷盾叔 电脑教程 阅读 1
进入系统视图,使用acl basic/advanced创建ACL,通过rule命令定义具体规则(如permit/deny、源/目的地址),最后在接口视图下用traffic-filter应用ACL并指定方向(inbound/outbound),使用display acl查看配置。

H3C ACL配置命令详解

ACL(访问控制列表)是H3C网络设备的核心安全功能,用于过滤流量、控制访问权限,以下是详细配置步骤及示例,基于H3C Comware V7操作系统。

H3C ACL配置命令指南

ACL基础概念

  1. ACL类型

    • 基本ACL(2000-2999):基于源IP地址过滤。
    • 高级ACL(3000-3999):基于源/目的IP、协议类型(TCP/UDP/ICMP)、端口号等。
    • 二层ACL(4000-4999):基于MAC地址、VLAN ID等。

  2. 匹配规则

    • permit:允许通过
    • deny:拒绝通过
    • 规则从上到下执行,命中即停止。

ACL配置命令步骤

创建ACL

# 创建基本ACL 2000  
system-view  
acl basic 2000  
# 创建高级ACL 3000  
acl advanced 3000

配置ACL规则

  • 基本ACL示例:禁止源IP 168.1.10 访问 

    rule 5 deny source 192.168.1.10 0  # 0表示精确匹配  
rule 10 permit source any         # 允许其他所有IP

  • 高级ACL示例:禁止168.1.0/24访问Web服务(TCP 80)

    H3C ACL配置命令指南

    rule 5 deny tcp source 192.168.1.0 0.0.0.255 destination any destination-port eq 80

  • 二层ACL示例:过滤MAC地址 

    acl mac 4000  
rule 5 deny source-mac 0001-0203-0405 ffff-ffff-ffff

应用ACL到接口/全局

  • 应用在接口入方向

    interface GigabitEthernet 1/0/1  
packet-filter inbound ip-group 3000  # 应用ACL 3000

  • 应用在VLAN虚接口

    interface Vlan-interface 10  
packet-filter inbound ip-group 2000

  • 应用在全局控制台登录(限制管理访问):

    H3C ACL配置命令指南

    user-interface vty 0 4  
acl 2000 inbound

关键命令详解

命令 功能
acl [basic/advanced/mac] <编号> 进入ACL配置视图
rule [ID] [permit/deny] [参数] 定义规则(ID可选,默认自动递增)
source <IP> <wildcard> 源IP地址(通配符掩码)
destination <IP> <wildcard> 目的IP地址
destination-port eq <端口> 目的端口(如80、443)
packet-filter inbound/outbound ip-group <ACL-ID> 在接口应用ACL

通配符掩码0表示精确匹配,255表示忽略(如 0.0.255 匹配整个网段)。

配置示例

场景:禁止168.2.0/24访问服务器1.1.5的SSH服务(TCP 22)。 

system-view  
acl advanced 3001  
 rule 10 deny tcp source 192.168.2.0 0.0.0.255 destination 10.1.1.5 0 destination-port eq 22  
 rule 100 permit ip  # 放行其他流量  
quit  
interface GigabitEthernet 1/0/2  # 服务器所在接口  
 packet-filter inbound ip-group 3001

注意事项

  1. 规则顺序:优先级由规则ID决定(ID越小优先级越高)。
  2. 隐含拒绝:ACL末尾自动添加 deny any,未匹配规则的数据包将被丢弃。
  3. 修改规则
    • 删除单条规则:undo rule <ID>
    • 清空ACL:reset acl all
  4. 查看ACL
    display acl all          # 查看所有ACL  
display packet-filter    # 查看接口应用状态

故障排查

  • 流量未被过滤:检查ACL是否绑定到正确接口及方向(inbound/outbound)。
  • 规则冲突:使用 display acl <编号> 确认规则顺序。
  • 未放行必要流量:确保ACL末尾有 permit ip 放行管理流量。

参考:H3C官方文档《ACL配置指导》(Comware V7)
更新日期:2025年10月
声明:本文基于H3C设备实测编写,适用于主流型号(如S6850、MSR系列),配置前请备份设备数据。

原创文章,发布者:酷盾叔,转转请注明出处:https://www.kd.cn/ask/17565.html

(0)
酷盾叔的头像酷盾叔
0 0
上一篇 2025年6月10日 02:17
下一篇 2025年6月10日 02:23

相关推荐

  • 如何使用tar命令打包? 电脑教程

    如何使用tar命令打包?

    使用 tar 命令打包文件或目录,基本语法为:tar -cvf 目标包名.tar 要打包的文件或目录,-c 表示创建包,-v 显示过程,-f 指定包名。

    酷盾叔的头像 酷盾叔
    2025年6月11日
    000
  • Linux编辑文件如何退出命令? 电脑教程

    Linux编辑文件如何退出命令?

    Linux中常用编辑器退出方法: ,**Vim**:按Esc切命令模式,输入:wq保存退出,:q!不保存退出。 ,**Nano**:按Ctrl+X,根据提示保存(Y)或放弃(N)。 ,**通用技巧**:强制退出用Ctrl+C或Ctrl+Z(可能产生临时文件)。

    酷盾叔的头像 酷盾叔
    2025年6月9日
    000
  • 如何用命令生成war包 电脑教程

    如何用命令生成war包

    使用Maven执行mvn package命令(需配置packaging为war),或使用Gradle执行gradle war命令(需应用war插件),即可在项目target/build目录生成war包。

    酷盾叔的头像 酷盾叔
    2025年6月8日
    100
  • ADB双清详细步骤 电脑教程

    ADB双清详细步骤

    通过ADB命令无法直接执行双清操作,双清(清除缓存分区和恢复出厂设置)必须在设备的Recovery模式下完成,ADB可用于重启设备进入Recovery模式(adb reboot recovery),但具体的双清操作需在Recovery界面中手动选择执行。**注意:此操作会清除所有用户数据。**

    酷盾叔的头像 酷盾叔
    2025年6月16日
    000
  • cmd如何复制文件 电脑教程

    cmd如何复制文件

    在Windows命令提示符(cmd)中: ,1. **copy** 命令复制单个文件,格式为 copy 源文件路径 目标路径。 ,2. **xcopy** 命令复制文件及文件夹,格式为 xcopy 源路径 目标路径 /参数(如 /e 复制子目录)。 ,使用时需注意路径正确性,可加参数控制操作细节。

    酷盾叔的头像 酷盾叔
    2025年6月3日
    500

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

联系我们

400-880-8834

在线咨询: QQ交谈

邮件:HI@E.KD.CN

首页
联系我们