基于华三交换机，限制其他网段的IP访问

Posted on 2020-05-03 In 技术 , Network Views: Word count in article: 2.6k Reading time ≈ 2 mins.

主要介绍了在 telnet 上基于 hc 交换机进行限制某网段 IP 访问的操作方法。包括连接交换机、查看和配置 ACL（访问控制列表）规则、添加限制规则和白名单、删除规则以及查看当前交换机中 wlan 的所有 acl 等内容。

有时工作需要，需要限制某些网段的IP访问。

以下操作在telnet上进行，基于hc交换机。

需要被限制范文的设备是连接在203.2.1.1的交换机上，首先需要连接交换机，
telnet 连接 203.2.1.1 或者 203.1.1.1 密码 xxxxxx
1
2
3
4
5
Password:
<L3>
<L3>system-view
System View: return to User View with Ctrl+Z.
[L3]
查看ACL，当前测试使用的是203.1.2网段，对应的acl规则号是3512
1
2
[L3]acl number 3512
[L3-acl-adv-3512]

查看3512下的所有rule规则

[L3-acl-adv-3512]di this
#
acl number 3512
 rule 1 permit ip source 203.2.1.66 0
 rule 2 permit ip source 203.2.1.48 0
 rule 3 permit ip source 203.2.1.18 0
 rule 4 permit ip source 203.2.1.36 0
 rule 5 permit ip source 203.2.1.46 0
 rule 6 permit ip source 203.2.1.50 0
 rule 7 permit ip source 203.2.1.47 0
 rule 100 deny ip source 209.0.0.0 0.255.255.255
 rule 101 deny ip source 203.2.0.0 0.0.255.255
 rule 102 deny ip source 203.1.1.0 0.0.0.255
 rule 103 deny ip source 203.1.7.0 0.0.0.255

rule后面的数字表示优先级，数字越小优先级越高。所以如果需要在某被限制的网段中添加白名单，需要将白名单IP的rule优先级，设置地比当前限制网段的rule优先级高。

拿 rule 1 permit ip source 203.2.1.66 0 来看，这里的IP地址后面的0是通配符掩码，0代表，0.0.0.0，意味着这只允许一个IP地址 203.2.1.66 访问，换成其他如 203.2.1.67 就不可以了；假如需要1-254 都可以访问，那么后面的通配符就要变成，0.0.0.255，即比如 rule 1 permit ip source 203.2.1.47 0.0.0.255，0代表精确匹配，255代表模糊匹配。

退出当前状态
1
2
3
[L3-acl-adv-3501]qu
[L3]qu
<L3>

添加限制规则

1
2
3

rule 100 deny ip source 209.0.0.0 0.255.255.255  # 限制209网段的所有设备访问203.2.1.x 
rule 101 deny ip source 203.2.0.0 0.0.255.255  # 限制203.2.x.x网段设备访问203.2.1.x 
rule 102 deny ip source 203.1.1.0 0.0.0.255  # 限制203.1.1.x网段设备访问203.2.1.x

添加白名单

1	rule 1 permit ip source 203.2.1.66 0 # 允许203.2.1.66地址访问203.2.1.x

删除规则
1
2
undo rule 1 # 删除规则1
undo rule 100 # 删除规则100
使用 undo rule n 来删除配置的规则，n为优先级数字。

以下操作很少用：

查看当前交换机中wlan的所有acl： di cur

[L3]di cur
#
 version 5.20, Release 1211P03
#
 sysname L3
#
 clock timezone GTS-8 add 08:00:00
#
 ftp server enable
#
 irf mac-address persistent timer
 irf auto-update enable
 undo irf link-delay
#
 domain default enable system
#
 ipv6
 ipv6 unreachables enable
#
 telnet server enable
#
 acl logging frequence 1440
#
 multicast routing-enable
#               
acl number 2501   # 这些就是想要查看的acl number
#
acl number 3000   
acl number 3001
acl number 3014
acl number 3015
acl number 3500
 description For_Vlan3011
 rule 1 permit ip source 203.2.1.101 0
 rule 2 permit ip source 203.5.1.239 0
 rule 3 permit ip source 203.2.1.245 0

配置acl

# 接着上一步，选取di cur后的打印信息中的部分
interface Vlan-interface3014
 description PktFlt outb for Filtering packets from outside Vlan3014
 ipv6 address 2001:0:0:104::1/64
 ip address 203.1.4.1 255.255.255.0
 igmp enable
 pim sm
 packet-filter 3501 outbound   # 可以看到这个网段已经配置了acl规则，number为3501
#
interface Vlan-interface3015
 ip address 203.1.5.1 255.255.255.0  # 可以看到这个网段没有配置acl规则 
 pim sm
#            
                
# 准备给 203.1.5.1 255.255.255.0 配置acl      
[L3]interface Vlan-interface3015
[L3-Vlan-interface3015]packet-filter 3515 outbound  # 选择一个不存在的acl数字，这里面number=3515
[L3-Vlan-interface3015]di this
#
interface Vlan-interface3015
 ip address 203.1.5.1 255.255.255.0
 pim sm
 packet-filter 3515 outbound
#
return
[L3-Vlan-interface3015]