华三acl应用到端口命令

1. 华为S9312，建立的ACL怎么引用到端口上

S93框式目前的 ACl应用接口下需要引用traffic policyacl 被流分类traffic classifier 引用， 流行为 traffic behaviortraffic policy 里绑定 流分类和流行为，这样即可将建立的ACL引用到端口上。

ACL 即为访问控制列表。访问控制列表(Access Control List，ACL) 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。

2. H3C三层交换机配置ACL：

ACL可以这样写：
acl number 3000
rule 5 permit ip source 192.168.33.0 0.0.0.255 destination 192.168.142.106 0
rule 10 deny ip source 192.168.33.0 0.0.0.255 destination 192.168.142.0 0.0.0.255
rule 15 permit ip
然后在vlan下启用ACL：
interface vlan 33（192.168.33.0/24所在的vlan接口，在vlan 接口下，启用上面定义的规则）
packet-filter inbound ip-group 3000

3. 华三交换机ACL配置

必须将acl应用到一个端口上才行，就是进入端口配置，然后用类似于下面的命令：
ip access-group <acl名或编号> in
进入端口配之后用？号查看具体命令符即可。

4. H3C S5500 ACL配置

添加一个-ipdestination--ipdestination-porteq3001rule2denytcp注：tcp或者udp,以服务器上端口为准，检查命令：netstat进入G0/0接口packet-filter3001inbound

5. H3Cs5500三层交换机配置基于端口的acl问题，急急急！！！！

添加一个acl
acl 3001
rule 0 permit tcp destination server1-ip destination-port eq 3000
rule 1 permit tcp destination server2-ip destination-port eq 3001
rule 2 deny tcp
注：tcp或者udp,以服务器上端口为准，检查命令：netstat
进入G0/0接口
packet-filter 3001 inbound

6. h3c 如何 acl做ip mac 端口绑定

1，端口 MAC

a)AM命令

使用特殊的AM User-bind命令，来完成MAC地址与端口之间的绑定。例如：

[SwitchA]amuser-bind mac-address 00e0-fc22-f8d3 interface Ethernet 0/1

配置说明：由于使用了端口参数，则会以端口为参照物，即此时端口E0/1只允许PC1上网，而使用其他未绑定的MAC地址的PC机则无法上网。但

是PC1使用该MAC地址可以在其他端口上网。

b)mac-address命令

使用mac-address static命令，来完成MAC地址与端口之间的绑定。例如：

[SwitchA]mac-addressstatic 00e0-fc22-f8d3 interface Ethernet 0/1 vlan 1

[SwitchA]mac-addressmax-mac-count 0

配置说明：由于使用了端口学习功能，故静态绑定mac后，需再设置该端口mac学习数为0，使其他PC接入此端口后其mac地址无法被学习。

2，IP MAC

a)AM命令

使用特殊的AM User-bind命令，来完成IP地址与MAC地址之间的绑定。例如：

[SwitchA]amuser-bind ip-address 10.1.1.2 mac-address00e0-fc22-f8d3

配置说明：以上配置完成对PC机的IP地址和MAC地址的全局绑定，即与绑定的IP地址或者MAC地址不同的PC机，在任何端口都无法上网。

支持型号：S3026E/EF/C/G/T、S3026C-PWR、E026/E026T、S3050C、E050、S3526E/C/EF、S5012T/G、S5024G

b)arp命令

使用特殊的arp static命令，来完成IP地址与MAC地址之间的绑定。例如：

[SwitchA]arpstatic 10.1.1.2 00e0-fc22-f8d3

配置说明：以上配置完成对PC机的IP地址和MAC地址的全局绑定。

3，端口 IP MAC

使用特殊的AM User-bind命令，来完成IP、MAC地址与端口之间的绑定。例如：

[SwitchA]amuser-bind ip-address 10.1.1.2 mac-address00e0-fc22-f8d3 interface Ethernet 0/1

配置说明：可以完成将PC1的IP地址、MAC地址与端口E0/1之间的绑定功能。由于使用了端口参数，则会以端口为参照物，即此时端口E0/1只允

许 PC1上网，而使用其他未绑定的IP地址、MAC地址的PC机则无法上网。但是PC1使用该IP地址和MAC地址可以在其他端口上网。

###############################################################################################

[S2016-E1-Ethernet0/1]mac-addressmax-mac-count 0;

进入到端口，用命令mac max-mac-count 0(端口mac学习数设为0)

[S2016-E1]macstatic 0000-9999-8888 int e0/1 vlan 10;

将0000-9999-8888绑定到e0/1端口上，此时只有绑定mac的pc可以通过此口上网,同时E0/1属于vlan 10

7. h3c如何配置acl命令

交换机直接用下面的就可以
acl number 3000
rule permit ip source 1.1.1.1 0 destination 2.2.2.2 0

acl number 2000
rule permit ip source 1.1.1.1 0

acl 2000-3000 只能定义源
acl 3000 及以上可以定义源和目标
上面是配置实例 permit是允许 deny是拒绝
定义之后到接口或端口去下发。
Packet in/out 2000

路由器的话略有不同
你要先
fiirwall enable 全局使能防火墙
定义ACL 同上面的方法定义ACL
接口下发：firewall packet in/out 3000