华三调用acl的命令

Ⅰ 华三二层acl设置

回吵纤答不草率，我仔细验证后，下面的配置才行。第一次回答的我给删了
我这个丛败是在三层交换上面配置的
如下：采用如下的思路配置二层ACL：
1、配置ACL。
2、配置流分类。
3、配置流行为。
4、配置流策略。
5、在接口上应用流策略。
操作步骤：
1、配置ACL。
acl 4000
rule 5 deny source-mac 3496-72a9-c20e
quit
2、配置流分类tc1
traffic classifier tc1
if-match acl 4000
quit
3、配置流渗碰颤行为。tb1
traffic behavior tb1
deny
traffic behavior tb1
4、配置流策略。将流分类tc1与流行为tb1关联
traffic policy tp1
classifier tc1 behavior tb1
quit
5、在接口上应用流策略。
interface gigabitethernet 0/0/22
traffic-policy tp1 inbound
quit
若你需要增加或者修改主机只需要在acl4000里面修改即可。
刚刚我使用ensp测试了下，这个控制流分类的方法是可以的。 用心回答，望采纳！

Ⅱ h3c 如何 acl做ip mac 端口绑定

1，端口 MAC

a)AM命令

使用特殊的AM User-bind命令，来完成MAC地址与端口之间的绑定。例如：

[SwitchA]amuser-bind mac-address 00e0-fc22-f8d3 interface Ethernet 0/1

配置说明：由于使用了端口参数，则会以端口为参照物，即此时端口E0/1只允许PC1上网，而使用其他未绑定的MAC地址的PC机则无法上网。但

是PC1使用该MAC地址可以在其他端口上网。

b)mac-address命令

使用mac-address static命令，来完成MAC地址与端口之间的绑定。例如：

[SwitchA]mac-addressstatic 00e0-fc22-f8d3 interface Ethernet 0/1 vlan 1

[SwitchA]mac-addressmax-mac-count 0

配置说明：由于使用了端口学习功能，故静态绑定mac后，需再设置该端口mac学习数为0，使其他PC接入此端口后其mac地址无法被学习。

2，IP MAC

a)AM命令

使用特殊的AM User-bind命令，来完成IP地址与MAC地址之间的绑定。例如：

[SwitchA]amuser-bind ip-address 10.1.1.2 mac-address00e0-fc22-f8d3

配置说明：以上配置完成对PC机的IP地址和MAC地址的全局绑定，即与绑定的IP地址或者MAC地址不同的PC机，在任何端口都无法上网。

支持型号：S3026E/EF/C/G/T、S3026C-PWR、E026/E026T、S3050C、E050、S3526E/C/EF、S5012T/G、S5024G

b)arp命令

使用特殊的arp static命令，来完成IP地址与MAC地址之间的绑定。例如：

[SwitchA]arpstatic 10.1.1.2 00e0-fc22-f8d3

配置说明：以上配置完成对PC机的IP地址和MAC地址的全局绑定。

3，端口 IP MAC

使用特殊的AM User-bind命令，来完成IP、MAC地址与端口之间的绑定。例如：

[SwitchA]amuser-bind ip-address 10.1.1.2 mac-address00e0-fc22-f8d3 interface Ethernet 0/1

配置说明：可以完成将PC1的IP地址、MAC地址与端口E0/1之间的绑定功能。由于使用了端口参数，则会以端口为参照物，即此时端口E0/1只允

许 PC1上网，而使用其他未绑定的IP地址、MAC地址的PC机则无法上网。但是PC1使用该IP地址和MAC地址可以在其他端口上网。

###############################################################################################

[S2016-E1-Ethernet0/1]mac-addressmax-mac-count 0;

进入到端口，用命令mac max-mac-count 0(端口mac学习数设为0)

[S2016-E1]macstatic 0000-9999-8888 int e0/1 vlan 10;

将0000-9999-8888绑定到e0/1端口上，此时只有绑定mac的pc可以通过此口上网,同时E0/1属于vlan 10

Ⅲ 请问华三 防火墙里面 nat outbound 2000 是什么意思

1、nat outbound命令用来配置NAT地址池的转换策略，可以选择匹配ACL模式或不匹配ACL两种模式。

nat outbound { acl-number | any }

address-group address-group-name [no-pat ]

acl-number

2、基本ACL编号或高级ACL编号。

3、整数形式，基本ACL编号取值范围是2000～2999，高级ACL编号取值范围是3000～3999

4、NAT实例根据命令行中的ACL匹配情况，将用户报文分配到不同的NAT地址池中进行NAT地址转换。只有匹配ACL规则的报文，并且该规则定义的动作是允许（permit），才可以使用对应的NAT地址池中地址进行NAT转换。

(3)华三调用acl的命令扩展阅读：

为帮助理解，这里举一个实例（easy IP）

一、easyIP 是目前比较常用的地址转换技术，它舍弃了地址池的方案，直接将内网地址转换为出口路由器出接口IP，适用于通过拨号动态获取公网地址上网的网络环境

二、命令解析：

1、 通过标准ACL定义一条rule，匹配源地址属于10.0.0.0/24网段的数据

[RTA]aclbasic 2000

[RTA-acl-basic-2000]rule0 permit source 10.0.0.0 0.0.0.255

2、 进入接口模式视图， 将acl 2000与接口关联，并在出方向上应用NAT（easy ip 技术没有地址池的配置，配置相比其他两个比较简单！）

[RTA]interfaces 1/0

[RTA-Serial1/0]natoutbound 2000

3、查看:

[Gateway]display nat session 查看NAT的转换过程