如何在H3C路由器使用ACL来管理网络安全

最新推荐文章于 2025-09-07 21:02:12 发布
最新推荐文章于 2025-09-07 21:02:12 发布
阅读量6.8k 收藏 18
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 网络 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/omage/article/details/120142430
本文详细介绍了H3C路由器的高级访问控制列表(Access Control List, ACL)规则,包括规则定义、编号范围,以及inbound和outbound方向的应用示例。通过实例演示了如何创建规则允许/拒绝特定IP和端口流量,以及如何将这些规则应用于VLAN接口。

ACL ( Access Control List) 访问控制列表,顾名思义,用于控制访问用的,和我们在window里使用防火墙规则是一个意思。

第一步要先定义ACL规则, H3C路由器有三种规则,基本规则,高级规则,二层规则,一般情况使用高级规则就能解决我们大部分场景,这里就着重介绍高级规则。高级规则的编号在H3C路由器里是3000~3999之间。

示例:下面的规则依次表示允许源地址为192.168.1.0网段的IP包,拒绝目标地址为192.168.2.0网段的IP包,最后denly ip表示拒绝所有IP包。

#
acl advanced 3000
 rule 1 permit ip source 192.168.1.0 0.0.0.255
 rule 2 deny ip destination 192.168.2.0 0.0.0.255
 rule 100 deny ip

这个规则建立后,需要指定应用在哪个接口或VLAN,并且需要指定方向: inbound 还是 outbound

关于inbound 和 outbound的区别可以看看这个博客文章,写的很清楚。

https://blog.csdn.net/flyhorstar/article/details/80912272?utm_source=po_vip

简单的说, inbound表示客户端的IP包进入到这个接口或VLAN,   outbound表示IP包从这个接口或VLAN流出来。

以下示例表示如何应用ACL规则, vlan1应用了两个ACL规则, 3002应用在inbound方向,3000应用在出的方向。

#
interface Vlan-interface1
 ip address 192.168.2.1 255.255.255.0
 packet-filter 3002 inbound
 packet-filter 3000 outbound
#
interface Vlan-interface2
 ip address 192.168.3.1 255.255.255.0
 packet-filter 3001 inbound
#

示例:定义如下规则,并应用到outbound方向

#
acl advanced 3000
 rule 1 permit icmp icmp-type echo-reply
 rule 2 permit udp source-port eq dns
 rule 3 permit tcp source-port eq dns
 rule 4 permit tcp source-port eq www
 rule 5 permit tcp source-port eq 443
 rule 6 permit tcp source-port eq smtp
 rule 7 permit tcp source-port eq 465
 rule 8 permit tcp destination-port range www 88
 rule 100 deny ip

rule 1表示允许被ping的机器回来的包通过 

rule 2,3表示允许dns协议服务器的响应包通过

rule 4,5表示允许web服务器的响应包通过

rule 6,7表示允许邮件服务器的响应包通过

rule 8 表示允许目标端口在80~88访问的tcp包通过


 

华三h3c系列交换机ACL实践
henu_lxz的博客
04-22 1万+
学习目标: 认识华三h3c的两种ACL:basic acladvancedacl如何使用acl中的source ip或destination ip在接口下或interface vlan调用时inbound/outbound。 学习内容: 本次实验的拓扑如下: 1、如上图所示在交换机SW1上配置basic acl控制R1或客户server 3访问内网ssh服务的接口地址或loop back地址。以便验证华三系列交换机如何配置basic acl并调用在接口下。 2、如上图所示在交换机SW1上配..
华为eNSP实验3、acl访问控制列表
hg515215563的博客
11-12 7930
3、acl访问控制列表: acl访问控制列表主要分为3类: 1、基本访问控制列表(2000-2999)只能针对source ip地址进行限制 2、告警访问控制列表(3000-3999)可以针对源ip、目的ip、源端口、目的端口进行限制 3、二层访问控制列表(4000-4999)可以针对二层数据帧进行控制。 本文主要进行基本访问控制列表及告警访问控制列表的实验。 实验拓扑如下: 路由器AR1 接口...
运维与安全工程师必备:Windows/Linux 服务器安全加固实操手册
最新发布
m0_67374462的博客
09-07 398
本文为您提供一份详尽的Windows与Linux系统安全加固实战指南。内容涵盖​​补丁管理、账户与密码策略(含复杂度和锁定策略配置)、系统服务与端口加固(附高危端口清单)、本地安全策略/组策略深度配置​​,以及Linux下的​​SELinux、SSH安全、日志分析​​等关键操作。文章包含大量secpol.msc、systeminfo、chage等实用命令和截图,适合运维、安全及所有需要提升系统安全性的开发者阅读收藏。
H3C-ACL基础配置实验
weixin_44923066的博客
04-03 4971
步骤二PC1 可以访问 SERVER1 的 TELNET 服务,但不能访问 FTP 服务。②:PC1 可以访问 SERVER1 的 TELNET 服务,但不能访问 FTP 服务。③:PC2 可以访问 SERVER1 的 FTP 服务,但不能访问 TELNET 服务。步骤三:PC2可以访问 SERVER1 的 FTP服务,但不能访问 TELNET 服务。3.在 SERVER1 上配置开启 TELNET 和 FTP 服务,开启即可-略。网段不允许访问 SERVER1,要求通过高级 ACL 实现。
回顾ACL原理
ynyysn的博客
12-09 934
ACL概况 ACL是访问控制协议 ACL的作用:用来对数据包做访问控制(丢弃或者放行) ACL种类: 基本ACL(2000-2999):只能匹配源IP地址。 高级ACL3000-3999):可以匹配源IP、目的IP、源端口、目的端口等三层和四层的字段和协议。 二层ACL(4000-4999):根据数据包的源MAC地址、目的MAC地址、802.1q优先级、二层协议类型等二层信息制定。 应用规则 1、一个接口的同一个方向,只能调用一个ACL。 2、一个ACL里面可以有多个rule 规则,按照规则ID从小到大排
H3C配置ACL
wanghelove的博客
02-21 2132
Switch-Vlanif20]ip address 192.168.20.1 255.255.255.0 //vlanif接口配置地址。[Switch-Vlanif20]dhcp server dns-list 114.114.114.114 //配置DNS。[Switch-Vlanif20]dhcp select interface //选择基于接口的dhcp类型。
H3C ACL的应用与配置1
weixin_41120428的博客
04-26 2241
SWHC1-acl-ipv4-adv-3000]rule 30 permit ip source 192.168.50.252 0 destination 192.168.70.252 0 //设置一条ID为30的过滤,允许源地址为 192.168.50.252 访问目的地址为192.168.70.252 的设备。高级ACL范围3000-3999:对源IP,目地IP,协议,端口号进行过滤。[SWHC1]acl number 3000 //创建高级ACL 3000
H3C通过配置ACL实现单向访问示例-HCL模拟器工程文件
02-27
通过使用ACL网络管理员可以对网络流量进行细粒度的控制,从而增强网络安全性和管理性。H3C是一家领先的网络设备制造商,其产品广泛应用于各种网络环境。 H3C设备通常支持基于命令行接口(CLI)的配置方式,而HCL...
H3C_ACL包过滤基础配置案例
04-18
H3C网络设备中,访问控制列表(ACL)是一种重要的网络安全和流量管理工具,用于定义网络流量的过滤规则。本文档将详细讲解一个基于H3C设备的ACL包过滤基础配置案例,适用于H3CV7版本的交换机和路由器,特别是对于...
H3C网络产品ACL及QoS配置案例
02-26
在企业网络环境中,确保数据流的安全性和网络性能的稳定性至关重要。H3C(华三)作为知名的网络设备...通过深入学习和实践,你将能够熟练地在H3C网络设备上配置和管理ACL及QoS,从而提升企业网络的安全性和服务质量。
H3C路由器典型配置指导 .rar
10-05
第1章 H3C路由器系列产品介绍 第2章 基本配置指导 第3章 接口配置指导 第4章 广域网接入配置指导 第5章 IP业务配置指导 第6章 IP路由配置指导 第7章 IP组播配置指导 第8章 IPv6配置指导 第9章 MPLS配置指导 第10章 ...
H3Cacl配置
09-21
ac人2年的珍藏所用H3C设备,都亲自做过的\DHCP中继,静态路由,ACL,OSPF的配置经典,本人2年的珍藏所用H3C设备,都亲自做过的.ppt
华为/H3C路由器debug信息详解
12-13
总之,理解和利用华为/H3C路由器的debug功能对于网络管理员来说是必备技能。通过深入学习和实践,你可以更有效地定位和解决问题,确保网络的高效运行。在17个文档中,每个都可能涵盖不同的debug主题,深入研究这些...
H3C--ACL配置实践
mr__sheng的博客
12-26 1万+
实验目的: 1.掌握ACL的工作原理; 2.会基本ACL的配置; 3.会高级ACL的配置。 实验任务与要求: 1.按照图示配置各个网段的 IP 地址。 2.按照图示采用RIPv2路由协议,实现全网互通。 3.在服务器上配置开启 TELNET 和 FTP 服务。 4.配置 ACL 实现如下效果 (1)采用基本的ACL,让192.168.1.0不能访问192.168.2.0。 (2)采用高级ACL,PC1 可以访问服务器的TELNET服务,但不能访问 FTP 服务。PC2 可.
H3C防火墙应用
weixin_34327761的博客
01-21 623
1、H3C secPath F1000-A-E1防火墙:支持外部***防范、内网安全、流量监测、邮件过滤、网页过滤、应用层过滤。安全区域优先级:非受信区(untrust): 5非军事化区(dmz): 50受信区(trust): 85本地区域(local): 100管理区域(manage): 1002、ipsec ***的配置:实现两个内网互访①配置访问控制列表,匹配保护的数据...
H3C ACL规则的匹配顺序
weixin_30603633的博客
07-10 1500
转载于:https://www.cnblogs.com/fanweisheng/p/11163988.html
h3c交换机基本ACL配置
热门推荐
王达专栏
04-26 3万+
以下内容摘自笔者2009年度巨作,获得多项大奖,并且已成功重印的图书《Cisco/H3C交换机配置与管理完全手册》.19.2.2 基本ACL配置基本ACL只根据源IP地址信息制定匹配规则,对报文进行相应的分析处理。其序号取值范围为2000~2999。如果要配置带有时间段参数的规则,则需要定义相应的时间段。参见19.2.1节。1.基本ACL的配置方法配置基本ACL的步
实战篇【2】-H3C防火墙开局基础配置
weixin_47402139的博客
03-03 1万+
本篇文章为“H3C防火墙开局基础配置”,主要涵盖配置管理地址、聚合端口、安全区域、安全策略、静态路由、ACL,WEB和SSH远程管理、Console、SNMP、NTP时钟、日志主机等内容,对比交换机配置开局,增加两处配置,安全区域和安全策略。方便调试人员远程管理、调试。
h3c路由器配置acl
01-23
H3C路由器配置ACL(访问控制列表)是一种网络管理技术,用于控制数据包在网络设备间的流动。通过ACL可以对进出接口的数据流进行过滤,并能有效保障网络安全性和优化性能。 下面是基本的步骤来进行简单配置: ### 步骤一:进入系统视图 ```shell system-view ``` ### 步骤二:创建标准IP ACL规则 如果您想基于源地址做限制,则需要建立一个标准的IPv4 ACL。例如下面这条命令表示编号为“2000”的ACL将会允许来自`192.168.1.x`网段的所有流量而拒绝其他所有来源: ```shell acl number 2000 rule permit source 192.168.1.0 0.0.0.255 ``` 注意这里的掩码不是常规形式而是反向书写即通配符掩码,上述例子中"0.0.0.255"代表最后一位可变。 对于更复杂的场景如还需要考虑目的端口等信息的话则需要用到高级ACL了。 ### 步骤三:将ACL应用到特定接口上 比如要让这个ACL作用于gigabitethernet 1/0/1 接口入方向上的所有通信会话, 那么你可以这样做: ```shell interface GigabitEthernet1/0/1 traffic-filter inbound acl 2000 ``` 这只是最基础的操作指导,实际环境中往往会有更多细节需要注意,建议参考官方文档获取详细说明及最佳实践案例。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值