当前位置: 首页 > 网络技术 > 网络应用 > 正文

H3C ACL应用到接口的几种命令

时间:2016-12-29

访问控制列表的使用用途是依靠数字的范围来指定的,1000~1999 是基于接口的访问控制列表,2000~2999 范围的访问控制列表是基本的访问控制列表,3000~3999范围的访问控制列表是高级的访问控制列表。有两种匹配顺序:配置顺序、自动排序:acl number acl-number [ match-order { config | auto } ]

H3C ACL应用到接口的几种命令:

一、packet-filter inbound ip-group acl-number(版本3.10)

二、firewall packet-filter 3000 inbound (用于SecPach和版本5.20)

三、QOS方法

1. # 定义acl

acl number 3001

rule deny ip source 1.1.1.1 0

acl number 3002

rule permit ip source 1.0.0.0 0.255.255.255

2.# 配置拒绝接收源地址为1.1.1.1报文的类和流行为

traffic classifier 1

if-match acl 3001

traffic behavior 1

filter deny

# 配置允许其他源地址的类和流行为

traffic classifier 2

if-match acl 3002

traffic behavior 2

filter permit

# 配置策略

qos policy test

classifier 1 behavior 1

classifier 2 behavior 2

# 应用策略

interface Ethernet 1/0/1

qos apply policy test inbound

3. 配置关键点:

1)ACL最终的匹配动作是permit还是deny,不由ACL中rule的动作决定,而是由此ACL所对应的behavior的动作决定的。

2)对于既有permit又有deny要求的访问控制,必须规定两个behavior,一个为permit,一个为deny。

该文章讲述了H3C NAT配置实例.

H3C NAT配置:

1、配置静态地址转换:一对一静态地址转换:[system] nat static ip-addr1 ip-addr2

静态网段地址转换: [system] nat static net-to-net inside-start-address inside-end-address global global-address mask

应用到接口: [interface]nat outbound static

2、多对多地址转换:[interface]nat outbound acl-number address-group group-number no-pat

3、配置NAPT:[interface]nat outbound acl-number [ address-group group-number ]

两个特殊的NAPT:

Easy IP: [interface]nat outbound acl-number (转化为接口地址)

Lookback:[interface]nat outbound acl-number interface loopback interface-number (转化为loopback地址)

4、双向地址转换:[system]nat overlapaddress number overlappool-startaddress temppool-startaddress { pool-length pool-length | address-mask mask } (需要结合outbound命令)

5、配置内部服务器:[interface]nat server

6、地址转换应用层网关:[system]nat alg (专门针对ftp之类对NAT敏感的协议)