華三調用acl的命令

Ⅰ 華三二層acl設置

回吵纖答不草率，我仔細驗證後，下面的配置才行。第一次回答的我給刪了
我這個叢敗是在三層交換上面配置的
如下：採用如下的思路配置二層ACL：
1、配置ACL。
2、配置流分類。
3、配置流行為。
4、配置流策略。
5、在介面上應用流策略。
操作步驟：
1、配置ACL。
acl 4000
rule 5 deny source-mac 3496-72a9-c20e
quit
2、配置流分類tc1
traffic classifier tc1
if-match acl 4000
quit
3、配置流滲碰顫行為。tb1
traffic behavior tb1
deny
traffic behavior tb1
4、配置流策略。將流分類tc1與流行為tb1關聯
traffic policy tp1
classifier tc1 behavior tb1
quit
5、在介面上應用流策略。
interface gigabitethernet 0/0/22
traffic-policy tp1 inbound
quit
若你需要增加或者修改主機只需要在acl4000裡面修改即可。
剛剛我使用ensp測試了下，這個控制流分類的方法是可以的。 用心回答，望採納！

Ⅱ h3c 如何 acl做ip mac 埠綁定

1，埠 MAC

a)AM命令

使用特殊的AM User-bind命令，來完成MAC地址與埠之間的綁定。例如：

[SwitchA]amuser-bind mac-address 00e0-fc22-f8d3 interface Ethernet 0/1

配置說明：由於使用了埠參數，則會以埠為參照物，即此時埠E0/1隻允許PC1上網，而使用其他未綁定的MAC地址的PC機則無法上網。但

是PC1使用該MAC地址可以在其他埠上網。

b)mac-address命令

使用mac-address static命令，來完成MAC地址與埠之間的綁定。例如：

[SwitchA]mac-addressstatic 00e0-fc22-f8d3 interface Ethernet 0/1 vlan 1

[SwitchA]mac-addressmax-mac-count 0

配置說明：由於使用了埠學習功能，故靜態綁定mac後，需再設置該埠mac學習數為0，使其他PC接入此埠後其mac地址無法被學習。

2，IP MAC

a)AM命令

使用特殊的AM User-bind命令，來完成IP地址與MAC地址之間的綁定。例如：

[SwitchA]amuser-bind ip-address 10.1.1.2 mac-address00e0-fc22-f8d3

配置說明：以上配置完成對PC機的IP地址和MAC地址的全局綁定，即與綁定的IP地址或者MAC地址不同的PC機，在任何埠都無法上網。

支持型號：S3026E/EF/C/G/T、S3026C-PWR、E026/E026T、S3050C、E050、S3526E/C/EF、S5012T/G、S5024G

b)arp命令

使用特殊的arp static命令，來完成IP地址與MAC地址之間的綁定。例如：

[SwitchA]arpstatic 10.1.1.2 00e0-fc22-f8d3

配置說明：以上配置完成對PC機的IP地址和MAC地址的全局綁定。

3，埠 IP MAC

使用特殊的AM User-bind命令，來完成IP、MAC地址與埠之間的綁定。例如：

[SwitchA]amuser-bind ip-address 10.1.1.2 mac-address00e0-fc22-f8d3 interface Ethernet 0/1

配置說明：可以完成將PC1的IP地址、MAC地址與埠E0/1之間的綁定功能。由於使用了埠參數，則會以埠為參照物，即此時埠E0/1隻允

許 PC1上網，而使用其他未綁定的IP地址、MAC地址的PC機則無法上網。但是PC1使用該IP地址和MAC地址可以在其他埠上網。

###############################################################################################

[S2016-E1-Ethernet0/1]mac-addressmax-mac-count 0;

進入到埠，用命令mac max-mac-count 0(埠mac學習數設為0)

[S2016-E1]macstatic 0000-9999-8888 int e0/1 vlan 10;

將0000-9999-8888綁定到e0/1埠上，此時只有綁定mac的pc可以通過此口上網,同時E0/1屬於vlan 10

Ⅲ 請問華三 防火牆裡面 nat outbound 2000 是什麼意思

1、nat outbound命令用來配置NAT地址池的轉換策略，可以選擇匹配ACL模式或不匹配ACL兩種模式。

nat outbound { acl-number | any }

address-group address-group-name [no-pat ]

acl-number

2、基本ACL編號或高級ACL編號。

3、整數形式，基本ACL編號取值范圍是2000～2999，高級ACL編號取值范圍是3000～3999

4、NAT實例根據命令行中的ACL匹配情況，將用戶報文分配到不同的NAT地址池中進行NAT地址轉換。只有匹配ACL規則的報文，並且該規則定義的動作是允許（permit），才可以使用對應的NAT地址池中地址進行NAT轉換。

(3)華三調用acl的命令擴展閱讀：

為幫助理解，這里舉一個實例（easy IP）

一、easyIP 是目前比較常用的地址轉換技術，它舍棄了地址池的方案，直接將內網地址轉換為出口路由器出介面IP，適用於通過撥號動態獲取公網地址上網的網路環境

二、命令解析：

1、 通過標准ACL定義一條rule，匹配源地址屬於10.0.0.0/24網段的數據

[RTA]aclbasic 2000

[RTA-acl-basic-2000]rule0 permit source 10.0.0.0 0.0.0.255

2、 進入介面模式視圖， 將acl 2000與介面關聯，並在出方向上應用NAT（easy ip 技術沒有地址池的配置，配置相比其他兩個比較簡單！）

[RTA]interfaces 1/0

[RTA-Serial1/0]natoutbound 2000

3、查看:

[Gateway]display nat session 查看NAT的轉換過程