VLAN之间的ACL配置

H3C交换机典型ACL访问控制列表配置教程交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。

交换机还具备了一些新的功能，如对VLAN(虚拟局域网)的支持、对链路汇聚的支持，甚至有的还具有防火墙的功能。

对于ACL，可能很多用户还不熟悉怎么设置，本文将介绍如何配置H3C交换机典型(ACL)访问控制列表,需要的朋友可以参考下配置步骤：H3C 3600 5600 5100系列交换机典型访问控制列表配置共用配置1.根据组网图，创建四个vlan，对应加入各个端口system-view[H3C]vlan 10[H3C-vlan10]port GigabitEthernet 1/0/1[H3C-vlan10]vlan 20[H3C-vlan20]port GigabitEthernet 1/0/2[H3C-vlan20]vlan 30[H3C-vlan30]port GigabitEthernet 1/0/3[H3C-vlan30]vlan 40[H3C-vlan40]port GigabitEthernet 1/0/4[H3C-vlan40]quit2.配置各VLAN虚接口地址[H3C]interface vlan 10[H3C-Vlan-interface10]ip address 10.1.1.1 24[H3C-Vlan-interface10]quit[H3C]interface vlan 20[H3C-Vlan-interface20]ip address 10.1.2.1 24[H3C-Vlan-interface20]quit[H3C]interface vlan 30[H3C-Vlan-interface30]ip address 10.1.3.1 24[H3C-Vlan-interface30]quit[H3C]interface vlan 40[H3C-Vlan-interface40]ip address 10.1.4.1 24[H3C-Vlan-interface40]quit3.定义时间段[H3C] time-range huawei 8:00 to 18:00 working-day需求1配置(基本ACL配置)1.进入2000号的基本访问控制列表视图[H3C-GigabitEthernet1/0/1] acl number 20002.定义访问规则过滤10.1.1.2主机发出的报文[H3C-acl-basic-2000] rule 1 deny source 10.1.1.2 0 time-range Huawei3.在接口上应用2000号ACL[H3C-acl-basic-2000] interface GigabitEthernet1/0/1[H3C-GigabitEthernet1/0/1] packet-filter inbound ip-group 2000[H3C-GigabitEthernet1/0/1] quit需求2配置(高级ACL配置)1.进入3000号的高级访问控制列表视图[H3C] acl number 30002.定义访问规则禁止研发部门与技术支援部门之间互访[H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.2553.定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器[H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range Huawei[H3C-acl-adv-3000] quit4.在接口上用3000号ACL[H3C-acl-adv-3000] interface GigabitEthernet1/0/2[H3C-GigabitEthernet1/0/2] packet-filter inbound ip-group 3000需求3配置(二层ACL配置)1.进入4000号的二层访问控制列表视图[H3C] acl number 40002.定义访问规则过滤源MAC为00e0-fc01-0101的报文[H3C-acl-ethernetframe-4000] rule 1 deny source 00e0-fc01-0101 ffff-ffff-ffff time-range Huawei3.在接口上应用4000号ACL[H3C-acl-ethernetframe-4000] interface GigabitEthernet1/0/4[H3C-GigabitEthernet1/0/4] packet-filter inbound link-group 40002 H3C 5500-SI 3610 5510系列交换机典型访问控制列表配置需求2配置1.进入3000号的高级访问控制列表视图[H3C] acl number 30002.定义访问规则禁止研发部门与技术支援部门之间互访[H3C-acl-adv-3000]rule 1 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.2553.定义访问规则禁止研发部门在上班时间8:00至18:00访问工资查询服务器[H3C-acl-adv-3000] rule 2 deny ip source any destination 129.110.1.2 0.0.0.0 time-range Huawei[H3C-acl-adv-3000] quit4.定义流分类[H3C] traffic classifier abc[H3C-classifier-abc]if-match acl 3000[H3C-classifier-abc]quit5.定义流行为，确定禁止符合流分类的报文[H3C] traffic behavior abc[H3C-behavior-abc] filter deny[H3C-behavior-abc] quit6.定义Qos策略，将流分类和流行为进行关联[H3C]qos policy abc[H3C-qospolicy-abc] classifier abc behavior abc[H3C-qospolicy-abc] quit7.在端口下发Qos policy[H3C] interface g1/1/2[H3C-GigabitEthernet1/1/2] qos apply policy abc inbound8.补充说明：l acl只是用来区分数据流，permit与deny由filter确定;l 如果一个端口同时有permit和deny的数据流，需要分别定义流分类和流行为，并在同一QoS策略中进行关联;l QoS策略会按照配置顺序将报文和classifier相匹配，当报文和某一个classifier匹配后，执行该classifier所对应的behavior，然后策略执行就结束了，不会再匹配剩下的classifier;l 将QoS策略应用到端口后，系统不允许对应修改义流分类、流行为以及QoS策略，直至取消下发。

VLAN之间的ACL配置实现多vlan间双vlan不通：创建ACL，使vlan20能访问vlan10，而vlan30不能访问vlan10Switch（config）＃ip access—list extended deny30 设置访问控制列表名称，（deny30)：ACL名称Switch(config-ext—nacl）＃deny ip 192.168。

30。

0 0.0。

0.255 192。

168。

10.0 0.0。

0。

255 —-—-拒绝vlan30访问vlan10Switch(config—ext—nacl)#permit ip any any —-—-允许vlan30的用户访问其他任何资源Switch(config—ext-nacl)#exit ————退出扩展ACL配置模式将ACL应用到vlan30的SVI口in方向Switch（config)＃interface vlan 30 —-——创建vlan30的SVI接口Switch(config-if）＃ip access—group deny30 in ---—将ACLdeny30应用到的SVI接口下查看ACL配置策略：Switch＃show access-lists删除ACL策略列表的其中一条策略：Switch(config)#ip access-list extended deny30 进入ACL策略列表Switch(config-ext—nacl）＃no 10 删除单条策略删除ACL配置策略列表：Switch(config)＃ip access—list extended deny30 进入ACL策略列表Switch(config-ext—nacl)＃no ip access—list extended deny30 删除整个ACL策略表实现多vlan间双vlan单通：允许vlan3能访问vlan2，但vlan2不能访问vlan3Switch(config）#ip access—list extended 101 设置访问控制列表ACL名称Switch（config-ext-nacl）＃permit ip 192.168。

H3C交换机配置ACL禁⽌vlan间互访1、先把基础⼯作做好，就是配置VLAN，配置Trunk，确定10个VLAN和相应的端⼝都正确。

假设10个VLAN的地址分别是192.168.10.X，192.168.20.X。

192.168.100.X，与VLAN号对应。

2、为第⼀个VLAN 10创建⼀个ACL，命令为ACL number 2000这个2000号，可以写的数是2000-2999，是基本的ACL定义。

然后在这个ACL下继续定义rule，例如rule 1 deny source 192.168.20.0rule 2 deny source 192.168.30.0rule 3 deny source 192.168.40.0rule 4 deny source 192.168.50.0rule 5 deny source 192.168.60.0rule 6 deny source 192.168.70.0rule 7 deny source 192.168.80.0rule 8 deny source 192.168.90.0然后进⼊VLAN接⼝interface vlan 10在vlan 10接⼝下，启⽤上⾯定义的规则：packet-filter outbound ip-group 2000这应该就可以了，其它VLAN也按这个⽅法定义。

这⼀句：packet-filter outbound ip-group 2000 设备有可能不⽀持，那你就得换种⽅法定义ACL，使⽤3000-3999之间的扩展ACL定义：rule 1 deny destination 192.168.20.0....然后在vlan接⼝下启⽤packet-filter inbound ip-group 3000。

三层中实现vlan之间隔离的方法
在三层网络中实现VLAN之间的隔离，可以采用以下几种方法：
1. 子接口：使用三层交换机或路由器创建虚拟接口，并为不同的VLAN分配不同的子接口。

每个子接口相当于一个独立的逻辑接口，可以进行独立的配置和隔离。

通过在子接口上配置不同的IP地址和VLAN标识，可以实现VLAN之间的隔离。

2. 路由转发：使用三层交换机或路由器进行VLAN之间的路由转发。

通过在设备上配置不同的VLAN，并在路由表中设置相应的静态路由或动态路由协议，实现不同VLAN之间的通信隔离。

3. 虚拟路由转发（VRF）：VRF是一种虚拟路由技术，可以将不同的VLAN划分到不同的虚拟路由实例中，实现彼此之间的隔离。

每个虚拟路由实例有独立的路由表和转发表，因此可以实现不同VLAN之间的隔离。

4. 三层ACL：通过在三层交换机或路由器上配置ACL（访问控制列表），可以实现对不同VLAN之间的通信进行控制和隔离。

ACL可以限制不同VLAN之间的通信流量，从而实现隔离。

5. 防火墙：在三层网络中引入防火墙设备，可以通过配置安全策略和访问控制规则，实现对不同VLAN之间的流量隔离和控制。

防火墙可以对流量进行检查和过滤，确保不同VLAN
之间的通信符合安全策略和访问控制规则。

需要根据具体的网络架构和需求选择合适的方法进行VLAN 间的隔离，每种方法都有其特点和适用场景。

拓扑说明：比较简单的三层环境，防火墙进来后接三层交换机s5700，然后接的几台二层交换机s2700，本文只对几个主要的应用配置做个描述1.vlan、gvrp相关配置举例：三层交换机：[5700]vlan 11 创建VLAN11[5700-vlan11]description xxx 加入描述信息xxx[5700-vlan11]quit[5700]gvrp 要用gvrp的话，全局模式下必须开启gvrp [5700]interface g0/0/23 进入与2层交换机连接的端口准备配置中继[5700-GigabitEthernet0/0/23]gvrp 中继端口下开启gvrp[5700-GigabitEthernet0/0/23]port link-type trunk 端口类型设置为trunk[5700-GigabitEthernet0/0/23]port trunk allow-pass vlan all 设置允许通过的vlan为所有，也可设为指定的vlan[5700-GigabitEthernet0/0/23]quit二层交换机：发现华为上不能批量进入端口，只有通过先创建端口组，再把响应端口加入组的方式来实现批量管理，比如我们要在2700上把千兆口都设为trunk口：[2700]port-group trunk 创建名为turnk的端口组，也可取其他名字。

如果已有此名，则会直接进入此端口组[2700-1-port-group-trunk]group-member g0/0/1 to g0/0/4 宣告组成员为G0/0/1到G0/0/4[2700-1-port-group-trunk]port link-type trunk 此组设为中继，即G0/0/1到G0/0/4都为中继[2700-1-port-group-trunk]port trunk allow-pass vlan all 这几步都和三层的配置一样，不同的是我们这里是进行的批量配置[2700-1-port-group-trunk]gvrp[2700-1-port-group-trunk]quit下面把相应端口加入vlan，这里我觉得端口组以vlan命名较为合适[2700]port group vlan11[2700-1-port-group- vlan11]group-member e0/0/1 to e0/0/4 [2700-1-port-group- vlan11]port link-type access 端口设置为access口[2700-1-port-group- vlan11]port default vlan 11 把E0/0/1-4口加入vlan11[2700-1-port-group- vlan11]quit以上VLAN的配置基本完成。

Vlan ACL的IN和OUT的问题(转帖)关于在vlan的接口上使用ACL配置的方向问题，在几个专业论坛里面看到经常有人提起。

在这里我总结一下。

还是举例说明吧。

1，拓扑图如：Host_A(1.1.1.1) <------> (1.1.1.2)E1:SW:E2(2.2.2.2) <------>(2.2.2.1)Host_B需求（由于是说明ACL放置接口的方向问题，所以需求简单一点）：只允许Host_A访问Host_B，其他访问Host_B的拒绝。

所以在SW上面可以配置如下：ip access-list extended to_host_bpermit ip host 1.1.1.1 host 2.2.2.1int e2ip access-group to_host_b out这里可以明显的看出方向使用out方向，我知道ACL用在硬接口上面大家都很容易理解，一般都不会弄错。

下面说明怎么理解ACL配置在vlan接口上。

2，拓扑图如：Host_A(1.1.1.1) <------> (1.1.1.2)vlan1:SW:vlan2(2.2.2.2) <------>(2.2.2.1)Host_B需求（由于是说明ACL放置接口的方向问题，所以需求简单一点）：只允许Host_A访问Host_B，其他访问Host_B的拒绝。

所以在SW上面可以配置如下：ip access-list extended to_host_bpermit ip host 1.1.1.1 host 2.2.2.1int vlan2ip access-group to_host_b out依然是out方向，其实很简单，大家只要将vlan的虚接口看作是硬接口就行了，不要想得太复杂。

但是如果要放在vlan1的IN方向，ACL该怎么写呢？可以如下：需求（由于是说明ACL放置接口的方向问题，所以需求简单一点）：只允许Host_A访问Host_B，其他访问Host_B的拒绝。

使用高级ACL限制不同网段的用户互访示例图1 使用高级ACL限制不同网段的用户互访示例组网需求如图1所示，某公司通过Switch实现各部门之间的互连。

为方便管理网络，管理员为公司的研发部和市场部规划了两个网段的IP地址。

同时为了隔离广播域，又将两个部门划分在不同VLAN之中。

现要求Switch能够限制两个网段之间互访，防止公司机密泄露。

配置思路采用如下的思路在Switch上进行配置：1.配置高级ACL和基于ACL的流分类，使设备可以对研发部与市场部互访的报文进行过滤。

2.配置流行为，拒绝匹配上ACL的报文通过。

3.配置并应用流策略，使ACL和流行为生效。

操作步骤1.配置接口所属的VLAN以及接口的IP地址# 创建VLAN10和VLAN20。

<HUAWEI> system-view[HUAWEI] sysname Switch[Switch] vlan batch 10 20# 配置Switch的接口GE0/0/1和GE0/0/2为trunk类型接口，并分别加入VLAN10和VLAN20。

[Switch] interface gigabitethernet 0/0/1[Switch-GigabitEthernet0/0/1] port link-type trunk[Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 10[Switch-GigabitEthernet0/0/1] quit[Switch] interface gigabitethernet 0/0/2[Switch-GigabitEthernet0/0/2] port link-type trunk[Switch-GigabitEthernet0/0/2] port trunk allow-pass vlan 20[Switch-GigabitEthernet0/0/2] quit# 创建VLANIF10和VLANIF20，并配置各VLANIF接口的IP地址。

国赛知识点 VLAN之间的ACL配置时间:2010-01-30 12:18来源:未知作者:admin 点击:211次步骤一：创建vlan10、vlan20、vlan30 S5750#conf ----进入全局配置模式S5750(config)#vlan 10 ----创建VLAN10 S5750(config-vlan)#exit ----退出VLAN配置模式 S5750(config)#vlan 20 ----创建VLAN20S5750(config-vlan)#exit ----退出VLAN配置模式 S5750(co步骤一：创建vlan10、vlan20、vlan30S5750#conf ----进入全局配置模式S5750(config)#vlan 10 ----创建VLAN10 S5750(config-vlan)#exit ----退出VLAN配置模式S5750(config)#vlan 20 ----创建VLAN20 S5750(config-vlan)#exit ----退出VLAN配置模式S5750(config)#vlan 30 ----创建VLAN30 S5750(config-vlan)#exit ----退出VLAN配置模式步骤二：将端口加入各自vlanS5750(config)# interface range gigabitEthernet 0/1-5----进入gigabitEthernet 0/1-5号端口S5750(config-if-range)#switchport access vlan 10----将端口加划分进vlan10S5750(config-if-range)#exit----退出端口配置模式S5750(config)# interface range gigabitEthernet 0/6-10----进入gigabitEthernet 0/6-10号端口S5750(config-if-range)#switchport access vlan 20----将端口加划分进vlan20S5750(config-if-range)#exit----退出端口配置模式S5750(config)# interface range gigabitEthernet 0/11-15----进入gigabitEthernet 0/11-15号端口S5750(config-if-range)#switchport access vlan 30----将端口加划分进vlan30S5750(config-if-range)#exit----退出端口配置模式步骤三：配置vlan10、vlan20、vlan30的网关IP地址S5750(config)#interface vlan 10 ----创建vlan10的SVI接口S5750(config-if)#ip address 192.168.10.1 255.255.255.0----配置VLAN10的网关S5750(config-if)#exit ----退出端口配置模式S5750(config)#interface vlan 20 ----创建vlan10的SVI接口S5750(config-if)#ip address 192.168.20.1 255.255.255.0----配置VLAN10的网关S5750(config-if)#exit ----退出端口配置模式S5750(config)#interface vlan 30 ----创建vlan10的SVI接口S5750(config-if)#ip address 192.168.30.1 255.255.255.0----配置VLAN10的网关S5750(config-if)#exit ----退出端口配置模式步骤四：创建ACL，使vlan20能访问vlan10，而vlan30不能访问vlan10S5750(config)#ip access-list extended deny30 ----定义扩展ACLS5750(config-ext-nacl)#deny ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255----拒绝vlan30的用户访问vlan10资源S5750(config-ext-nacl)#permit ip any any----允许vlan30的用户访问其他任何资源S5750(config-ext-nacl)#exit ----退出扩展ACL配置模式步骤五：将ACL应用到vlan10的SVI口in方向S5750(config)#interface vlan 10 ----创建vlan10的SVI接口S5750(config-if)#ip access-group deny30 in----将扩展ACL应用到vlan10的SVI接口下。

Cisco VLAN ACL配置及详解1.什么是ACL？ACL全称访问控制列表（Access Control List），主要通过配置一组规则进行过滤路由器或交换机接口进出的数据包，是控制访问的一种网络技术手段，ACL适用于所有的被路由支持的协议，如IP、tcp、udp、ftp、www等。

2.什么是反掩码？反掩码就是通配符掩码，通过标记0和1告诉设备应该匹配到哪位。

在反掩码中，相应位为1的地址在比较中忽略，为0的必须被检查。

IP地址与反掩码都是32位的数由于跟子网掩码刚好相反，所以也叫反掩码。

路由器使用的通配符掩码与源或目标地址一起来分辨匹配的地址范围，它与子网掩码不同。

它不像子网掩码告诉路由器IP地址是属于哪个子网（网段），通配符掩码告诉路由器为了判断出匹配，它需要检查IP地址中的多少位。

例如：255.255.255.0 反掩码（wildcard-mask）就是0.0.0.255255.255.255.248 反掩码（wildcard-mask）就是0.0.0.73.ACL工作原理：ACL使用包过滤技术，在路由器上读取OSI七层模型的第3层和第4层包头中的信息。

如源地址，目标地址，源端口，目标端口等，根据预先定义好的规则，对包进行过滤，从而达到访问控制的目的。

对于路由器接口而言，ACL是有两个方向：注意：如果发现没有匹配的ACL规则，默认会丢弃该数据包，思科ACL规则默认会有一条隐藏的deny any any规则，而华三ACL规则默认是permit any any规则。

入站----如果是入站访问列表，则当路由器接收到数据包时，Cisco IOS 软件将检查访问列表中的条件语句，看是否有匹配。

如果数据包被允许，则软件将继续处理该数据包。

如果数据包被拒绝，则软件会丢弃该数据包。

出站----如果是出站访问列表，则当软件到接收数据包并将群其路由至出站接口后，软件将检查访问列表中的条件语句，看是否有匹配。