3C交换机典型（ACL）访问控制列表配置实例 一、组网需求： 2．要求配置高级访问控制列表,禁止研发部门与技术支援部门之间互访, 并限制研发部门在上班时间8:00至18:00访问工资查询服务器； 3．通过二层访问控制列表,实现在每天8:00～18:00时间段内对源MAC 为00e0-fc01-0101(de)报文进行过滤. 二、组网图： 三、配置步骤： H3C360056005100系列交换机典型访问控制列表配置 1．根据组网图,创建四个vlan,对应加入各个端口 <H3C>system-view [H3C]vlan10 [H3C-vlan10]portGigabitEthernet1/0/1 [H3C-vlan10]vlan20 [H3C-vlan20]portGigabitEthernet1/0/2 [H3C-vlan20]vlan30 [H3C-vlan30]portGigabitEthernet1/0/3 [H3C-vlan30]vlan40 [H3C-vlan40]portGigabitEthernet1/0/4 [H3C-vlan40]quit 2．配置各VLAN虚接口地址 [H3C]interfacevlan10 [H3C-Vlan-interface10]ipaddress24 [H3C-Vlan-interface10]quit [H3C]interfacevlan20 [H3C-Vlan-interface20]ipaddress24 [H3C-Vlan-interface20]quit [H3C]interfacevlan30 [H3C-Vlan-interface30]ipaddress24 [H3C-Vlan-interface30]quit [H3C-Vlan-interface40]ipaddress24 [H3C-Vlan-interface40]quit 3．定义时间段 [H3C]time-rangehuawei8:00to18:00working-day 需求1配置（基本ACL配置） 1．进入2000号(de)基本访问控制列表视图 [H3C-GigabitEthernet1/0/1]aclnumber2000 [H3C-acl-basic-2000]rule1denysource0time-rangeHuawei 3．在接口上应用2000号ACL [H3C-acl-basic-2000]interfaceGigabitEthernet1/0/1 [H3C-GigabitEthernet1/0/1]packet-filterinboundip-group2000 [H3C-GigabitEthernet1/0/1]quit 需求2配置（高级ACL配置） 1．进入3000号(de)高级访问控制列表视图 [H3C]aclnumber3000 2．定义访问规则禁止研发部门与技术支援部门之间互访 [H3C-acl-adv-3000]rule1denyipsourcedestination 3．定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询 服务器 awei [H3C-acl-adv-3000]quit 4．在接口上用3000号ACL [H3C-acl-adv-3000]interfaceGigabitEthernet1/0/2 [H3C-GigabitEthernet1/0/2]packet-filterinboundip-group3000 需求3配置（二层ACL配置） 1．进入4000号(de)二层访问控制列表视图 [H3C]aclnumber4000 2．定义访问规则过滤源MAC为00e0-fc01-0101(de)报文 [H3C-acl-ethernetframe-4000]rule1denysource00e0-fc01-0101ffff -ffff-fffftime-rangeHuawei 3．在接口上应用4000号ACL [H3C-acl-ethernetframe-4000]interfaceGigabitEthernet1/0/4 [H3C-GigabitEthernet1/0/4]packet-filterinboundlink-group4000 2H3C5500-SI36105510系列交换机典型访问控制列表配置 需求2配置 1．进入3000号(de)高级访问控制列表视图 [H3C]aclnumber3000 2．定义访问规则禁止研发部门与技术支援部门之间互访 [H3C-acl-adv-3000