華三acl應用到埠命令

1. 華為S9312，建立的ACL怎麼引用到埠上

S93框式目前的 ACl應用介面下需要引用traffic policyacl 被流分類traffic classifier 引用， 流行為 traffic behaviortraffic policy 里綁定 流分類和流行為，這樣即可將建立的ACL引用到埠上。

ACL 即為訪問控制列表。訪問控制列表(Access Control List，ACL) 是路由器和交換機介面的指令列表，用來控制埠進出的數據包。ACL適用於所有的被路由協議，如IP、IPX、AppleTalk等。

2. H3C三層交換機配置ACL：

ACL可以這樣寫：
acl number 3000
rule 5 permit ip source 192.168.33.0 0.0.0.255 destination 192.168.142.106 0
rule 10 deny ip source 192.168.33.0 0.0.0.255 destination 192.168.142.0 0.0.0.255
rule 15 permit ip
然後在vlan下啟用ACL：
interface vlan 33（192.168.33.0/24所在的vlan介面，在vlan 介面下，啟用上面定義的規則）
packet-filter inbound ip-group 3000

3. 華三交換機ACL配置

必須將acl應用到一個埠上才行，就是進入埠配置，然後用類似於下面的命令：
ip access-group <acl名或編號> in
進入埠配之後用？號查看具體命令符即可。

4. H3C S5500 ACL配置

添加一個-ipdestination--ipdestination-porteq3001rule2denytcp註：tcp或者udp,以伺服器上埠為准，檢查命令：netstat進入G0/0介面packet-filter3001inbound

5. H3Cs5500三層交換機配置基於埠的acl問題，急急急！！！！

添加一個acl
acl 3001
rule 0 permit tcp destination server1-ip destination-port eq 3000
rule 1 permit tcp destination server2-ip destination-port eq 3001
rule 2 deny tcp
註：tcp或者udp,以伺服器上埠為准，檢查命令：netstat
進入G0/0介面
packet-filter 3001 inbound

6. h3c 如何 acl做ip mac 埠綁定

1，埠 MAC

a)AM命令

使用特殊的AM User-bind命令，來完成MAC地址與埠之間的綁定。例如：

[SwitchA]amuser-bind mac-address 00e0-fc22-f8d3 interface Ethernet 0/1

配置說明：由於使用了埠參數，則會以埠為參照物，即此時埠E0/1隻允許PC1上網，而使用其他未綁定的MAC地址的PC機則無法上網。但

是PC1使用該MAC地址可以在其他埠上網。

b)mac-address命令

使用mac-address static命令，來完成MAC地址與埠之間的綁定。例如：

[SwitchA]mac-addressstatic 00e0-fc22-f8d3 interface Ethernet 0/1 vlan 1

[SwitchA]mac-addressmax-mac-count 0

配置說明：由於使用了埠學習功能，故靜態綁定mac後，需再設置該埠mac學習數為0，使其他PC接入此埠後其mac地址無法被學習。

2，IP MAC

a)AM命令

使用特殊的AM User-bind命令，來完成IP地址與MAC地址之間的綁定。例如：

[SwitchA]amuser-bind ip-address 10.1.1.2 mac-address00e0-fc22-f8d3

配置說明：以上配置完成對PC機的IP地址和MAC地址的全局綁定，即與綁定的IP地址或者MAC地址不同的PC機，在任何埠都無法上網。

支持型號：S3026E/EF/C/G/T、S3026C-PWR、E026/E026T、S3050C、E050、S3526E/C/EF、S5012T/G、S5024G

b)arp命令

使用特殊的arp static命令，來完成IP地址與MAC地址之間的綁定。例如：

[SwitchA]arpstatic 10.1.1.2 00e0-fc22-f8d3

配置說明：以上配置完成對PC機的IP地址和MAC地址的全局綁定。

3，埠 IP MAC

使用特殊的AM User-bind命令，來完成IP、MAC地址與埠之間的綁定。例如：

[SwitchA]amuser-bind ip-address 10.1.1.2 mac-address00e0-fc22-f8d3 interface Ethernet 0/1

配置說明：可以完成將PC1的IP地址、MAC地址與埠E0/1之間的綁定功能。由於使用了埠參數，則會以埠為參照物，即此時埠E0/1隻允

許 PC1上網，而使用其他未綁定的IP地址、MAC地址的PC機則無法上網。但是PC1使用該IP地址和MAC地址可以在其他埠上網。

###############################################################################################

[S2016-E1-Ethernet0/1]mac-addressmax-mac-count 0;

進入到埠，用命令mac max-mac-count 0(埠mac學習數設為0)

[S2016-E1]macstatic 0000-9999-8888 int e0/1 vlan 10;

將0000-9999-8888綁定到e0/1埠上，此時只有綁定mac的pc可以通過此口上網,同時E0/1屬於vlan 10

7. h3c如何配置acl命令

交換機直接用下面的就可以
acl number 3000
rule permit ip source 1.1.1.1 0 destination 2.2.2.2 0

acl number 2000
rule permit ip source 1.1.1.1 0

acl 2000-3000 只能定義源
acl 3000 及以上可以定義源和目標
上面是配置實例 permit是允許 deny是拒絕
定義之後到介面或埠去下發。
Packet in/out 2000

路由器的話略有不同
你要先
fiirwall enable 全局使能防火牆
定義ACL 同上面的方法定義ACL
介面下發：firewall packet in/out 3000