如何在H3C AC（访问控制列表）中设置访问权限：远程telnet与Web登录的距离控制

一、ACL被上层软件引用典型配置举例

通过源IP对Telnet登录用户进行控制配置举例

1.组网需求

通过源IP地址对Telnet登录用户进行控制，仅允许IP地址为10.110.100.52的Telnet用户登录到交换机。

2.组网图

图1-1通过源IP对Telnet登录用户进行控制组网图

3.配置步骤

#定义基本ACL2000。

<Sysname>system-view

[Sysname]aclnumber2000

[Sysname-acl-basic-2000]rule1permitsource10.110.100.520

[Sysname-acl-basic-2000]quit

#在VTY用户界面引用基本ACL2000，对Telnet登录用户进行控制。

[Sysname]user-interfacevty04

[Sysname-ui-vty0-4]acl2000inbound

通过源IP对WEB登录用户进行控制配置举例

1.组网需求

通过源IP地址对WEB登录用户进行控制，仅允许IP地址为10.110.100.46的WEB用户通过HTTP方式访问交换机。

2.组网图

图1-2通过源IP对WEB登录用户进行控制组网图

3.配置步骤

#定义基本ACL2001。

<Sysname>system-view

[Sysname]aclnumber2001

[Sysname-acl-basic-2001]rule1permitsource10.110.100.460

[Sysname-acl-basic-2001]quit

#配置WEB服务器引用基本ACL2001，对WEB登录用户进行控制。

[Sysname]iphttpacl2001

二、ACL下发到硬件典型配置举例

基本ACL配置举例

1.组网需求

PC1和PC2通过端口Ethernet1/0/1接入交换机，PC1的IP地址为10.1.1.1。要求配置基本ACL，实现在每天8:00～18:00的时间段内对PC1发出的IP报文进行过滤。

2.组网图

图1-3基本ACL配置组网图

3.配置步骤

#定义周期时间段test，时间范围为每天的8:00～18:00。

<Sysname>system-view

[Sysname]time-rangetest8:00to18:00daily

#定义基本ACL2000，配置源IP地址为10.1.1.1的访问规则。

[Sysname]aclnumber2000

[Sysname-acl-basic-2000]rule1denysource10.1.1.10time-rangetest

[Sysname-acl-basic-2000]quit

#在端口Ethernet1/0/1上应用ACL2000。

[Sysname]interfaceEthernet1/0/1

[Sysname-Ethernet1/0/1]packet-filterinboundip-group2000

高级ACL配置举例

1.组网需求

公司企业网通过交换机实现各部门之间的互连。研发部门由端口Ethernet1/0/1接入交换机，工资查询服务器的地址为192.168.1.2。要求配置高级ACL，禁止研发部门在工作日8:00～18:00的时间段内访问工资查询服务器。

2.组网图

图1-4高级ACL配置组网图

3.配置步骤

#定义周期时间段test，时间范围为工作日的8:00～18:00。

<Sysname>system-view

[Sysname]time-rangetest8:00to18:00working-day

#定义高级ACL3000，配置目的IP地址为工资查询服务器的访问规则。

[Sysname]aclnumber3000

[Sysname-acl-adv-3000]rule1denyipdestination192.168.1.20time-rangetest

[Sysname-acl-adv-3000]quit

#在端口Ethernet1/0/1上应用ACL3000。

[Sysname]interfaceEthernet1/0/1

[Sysname-Ethernet1/0/1]packet-filterinboundip-group3000

二层ACL配置举例

1.组网需求

PC1和PC2通过端口Ethernet1/0/1接入交换机，PC1的MAC地址为0011-0011-0011。要求配置二层ACL，在每天8:00～18:00的时间段内，对PC1发出的目的MAC为0011-0011-0012的报文进行过滤。

2.组网图

图1-5二层ACL配置组网图

3.配置步骤

#定义周期时间段test，时间范围为每天的8:00～18:00。

<Sysname>system-view

[Sysname]time-rangetest8:00to18:00daily

#定义二层ACL4000，配置源MAC为0011-0011-0011，目的MAC为0011-0011-0012的访问规则。

[Sysname]aclnumber4000

[Sysname-acl-ethernetframe-4000]rule1denysource0011-0011-0011ffff-ffff-ffffdest0011-0011-0012ffff-ffff-fffftime-rangetest

[Sysname-acl-ethernetframe-4000]quit

#在端口Ethernet1/0/1上应用ACL4000。

[Sysname]interfaceEthernet1/0/1

[Sysname-Ethernet1/0/1]packet-filterinboundlink-group4000

用户自定义ACL配置举例

1.组网需求

网络环境描述如下：

lPC1的IP地址为192.168.0.2，通过端口Ethernet1/0/1接入交换机；PC2的IP地址为192.168.0.3，通过端口Ethernet1/02接入交换机。

lPC1和PC2属于VLAN1，二者的网关都设置为192.168.0.1（交换机VLAN1接口的IP地址），通过交换机访问Internet。

要求配置用户自定义ACL，在每天8:00～18:00的时间段内，对PC1发出的仿冒网关IP地址的ARP报文进行过滤。

2.组网图

图1-6用户自定义ACL配置组网图

3.配置步骤

#定义周期时间段test，时间范围为每天的8:00～18:00。

<Sysname>system-view

[Sysname]time-rangetest8:00to18:00daily

#定义用户自定义ACL5000，配置源IP地址为192.168.0.1的ARP报文的访问规则（假设没有端口启动VLAN-×××功能）。其中0806为ARP协议号，16为交换机内部处理的以太网报文中协议类型字段的偏移量，c0a80001为192.168.0.1的十六进制形式，32为交换机内部处理的ARP报文中源IP地址字段的偏移量。

[Sysname]aclnumber5000

[Sysname-acl-user-5000]rule1deny0806ffff16c0a80001ffffffff32time-rangetest

#在端口Ethernet1/0/1上应用ACL5000。

[Sysname]interfaceEthernet1/0/1

[Sysname-Ethernet1/0/1]packet-filterinbounduser-group5000

IPv6ACL配置举例

1.组网需求

PC1和PC2通过端口Ethernet1/0/1接入交换机，PC1的IPv6地址为3001::1/64。要求配置IPv6ACL，在每天8:00～18:00的时间段内，对PC1发出的目的IPv6地址为3002::1/64的报文进行过滤。

2.组网图

图1-7IPv6ACL配置组网图

3.配置步骤

#定义周期时间段test，时间范围为每天的8:00～18:00。

<Sysname>system-view

[Sysname]time-rangetest8:00to18:00daily

#定义IPv6ACL5000，配置源地址为3001::1/64，目的地址为3002::1/64的访问规则。

[Sysname]aclnumber5000

[Sysname-acl-user-5000]ruledenysrc-ip3001::164dest-ip3002::164time-rangetest

[Sysname-acl-user-5000]quit

#在端口Ethernet1/0/1上应用IPv6ACL5000。

[Sysname]interfaceEthernet1/0/1

[Sysname-Ethernet1/0/1]packet-filterinbounduser-group5000

在VLAN上应用ACL配置举例

1.组网需求

PC1、PC2和PC3属于VLAN10，分别通过端口Ethernet1/0/1、Ethernet1/0/2和Ethernet1/0/3接入交换机，数据库服务器的IP地址为192.168.1.2。要求配置高级ACL3000，禁止VLAN10内的PC在工作日8:00～18:00的时间段内访问数据库服务器。

2.组网图

图1-8在VLAN上应用ACL配置组网图

3.配置步骤

#定义周期时间段test，时间范围为工作日的8:00～18:00。

<Sysname>system-view

[Sysname]time-rangetest8:00to18:00working-day

#定义高级ACL3000，配置目的IP地址为数据库服务器的访问规则。

[Sysname]aclnumber3000

[Sysname-acl-adv-3000]rule1denyipdestination192.168.1.20time-rangetest

[Sysname-acl-adv-3000]quit

#在VLAN10上应用ACL3000。

[Sysname]packet-filtervlan10inboundip-group3000