H3C交换机典型(ACL)访问控制列表配置实例 一、组网需求：1．通过配置基本访问控制列表，实现在每天8：00～18:00时间段内对源IP为10。1.1.2主机发出报文的过滤；www.jb51.net2．要求配置高级访问控制列表,禁止研发部门与技术支援部门之间互访，并限制研发部门在上班时间8：00至18:00访问工资查询服务器；3．通过二层访问控制列表，实现在每天8：00～18：00时间段内对源MAC为00e0—fc01-0101的报文进行过滤。二、组网图:三、配置步骤：H3C360056005100系列交换机典型访问控制列表配置共用配置1．根据组网图，创建四个vlan，对应加入各个端口<H3C〉system-view[H3C]vlan10［H3C-vlan10］portGigabitEthernet1/0/1[H3C-vlan10]vlan20[H3C-vlan20］portGigabitEthernet1/0/2［H3C—vlan20］vlan30[H3C-vlan30]portGigabitEthernet1/0/3[H3C—vlan30]vlan40[H3C-vlan40］portGigabitEthernet1/0/4[H3C—vlan40]quit2．配置各VLAN虚接口地址［H3C]interfacevlan10[H3C—Vlan—interface10］ipaddress10。1。1.124[H3C—Vlan-interface10]quit［H3C]interfacevlan20［H3C-Vlan—interface20］ipaddress10。1。2。124[H3C-Vlan-interface20］quit［H3C］interfacevlan30［H3C—Vlan—interface30］ipaddress10。1。3.124［H3C—Vlan-interface30]quit[H3C］interfacevlan40［H3C—Vlan—interface40］ipaddress10。1.4。124[H3C-Vlan—interface40］quit3．定义时间段［H3C]time—rangehuawei8：00to18：00working—day需求1配置（基本ACL配置）1．进入2000号的基本访问控制列表视图[H3C—GigabitEthernet1/0/1］aclnumber20002．定义访问规则过滤10。1.1.2主机发出的报文［H3C-acl-basic—2000]rule1denysource10。1.1。20time-rangeHuawei3．在接口上应用2000号ACL［H3C-acl—basic—2000]interfaceGigabitEthernet1/0/1［H3C-GigabitEthernet1/0/1］packet—filterinboundip-group2000［H3C-GigabitEthernet1/0/1]quit需求2配置（高级ACL配置）1．进入3000号的高级访问控制列表视图[H3C]aclnumber30002．定义访问规则禁止研发部门与技术支援部门之间互访［H3C-acl—adv-3000］rule1denyipsource10.1。2。00。0.0。255destination10。1。1。00.0.0。2553．定义访问规则禁止研发部门在上班时间8：00至18：00访问工资查询服务器[H3C—acl—adv—3000］rule2denyipsourceanydestination129。110.1.20。0.0.0time—rangeHuawei[H3C-acl-adv—3000]quit4．在接口上用3000号ACL［H3C—acl—adv-3000]interfaceGigabitEthernet1/0/2[H3C-GigabitEthernet1/0/2］packet-filterinboundip—group3000需求3配置（二层ACL配置）1．进入4000号的二层访问控制列表视图[H3C]aclnumber40002．定义访问规则过滤源MAC为00e0-fc01—0101的报文[H3C-acl—ethernetframe-4000］rule1denysource00e0—fc01-0101ffff-ffff—fffftime—rangeHuawei3．在接口上应用4000号ACL[H3C-acl—ethernetframe—4000]interfaceGigabitEthernet1/0/4［H3C-GigabitEthernet1/0/4]packet-filterinboundlink-group40002H3C5500-SI3610