交换机acl配置需求请教
- 0关注
- 0收藏,207浏览
问题描述:
vlan信息:
vlan 10 文件服务器
vlan 20 域控服务器
vlan 30 备份服务器
vlan40 客户端
需求:
1、只允许vlan 40 访问 文件服务器vlan10 的tcp 445,其他拒绝;
2、vlan10 文件服务器允许访问 vlan20 的ad服务器端口 tcp389 、tcp636、tcp445、udp88、dns端口udp 53;vlan10允许访问vlan30 备份服务器的tcp 6070-6080,访问其他拒绝;
3、vlan30备份服务器能访问ad服务器端口 tcp389 、tcp445、udp88、dns端口udp 53,访问其他拒绝;
以上需求 acl 怎么写。
- 2026-06-05提问
- 举报
-
(0)
最佳答案
一、 ACL 规则编写
1. VLAN 40 客户端访问策略
- 需求:只允许访问VLAN 10的TCP 445端口,其他拒绝。
- 配置:
1[H3C] acl advanced 3001
2[H3C-acl-ipv4-adv-3001] rule permit tcp source 192.168.40.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 destination-port eq 445
3[H3C-acl-ipv4-adv-3001] rule deny ip source 192.168.40.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
4[H3C-acl-ipv4-adv-3001] quit2. VLAN 10 文件服务器访问策略
- 需求:允许访问VLAN 20的AD相关端口、VLAN 30备份服务器的TCP 6070-6080端口,其他拒绝。
- 配置:
1[H3C] acl advanced 3002
2# 放行到域控(AD)的指定端口
3[H3C-acl-ipv4-adv-3002] rule permit tcp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 destination-port eq 389
4[H3C-acl-ipv4-adv-3002] rule permit tcp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 destination-port eq 636
5[H3C-acl-ipv4-adv-3002] rule permit tcp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 destination-port eq 445
6[H3C-acl-ipv4-adv-3002] rule permit udp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 destination-port eq 88
7[H3C-acl-ipv4-adv-3002] rule permit udp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 destination-port eq 53
8# 放行到备份服务器的指定端口段
9[H3C-acl-ipv4-adv-3002] rule permit tcp source 192.168.10.0 0.0.0.255 destination 192.168.30.0 0.0.0.255 destination-port range 6070 6080
10# 兜底拒绝
11[H3C-acl-ipv4-adv-3002] rule deny ip source 192.168.10.0 0.0.0.255
12[H3C-acl-ipv4-adv-3002] quit3. VLAN 30 备份服务器访问策略
- 需求:允许访问VLAN 20的AD相关端口,其他拒绝。
- 配置:
1[H3C] acl advanced 3003
2[H3C-acl-ipv4-adv-3003] rule permit tcp source 192.168.30.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 destination-port eq 389
3[H3C-acl-ipv4-adv-3003] rule permit tcp source 192.168.30.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 destination-port eq 445
4[H3C-acl-ipv4-adv-3003] rule permit udp source 192.168.30.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 destination-port eq 88
5[H3C-acl-ipv4-adv-3003] rule permit udp source 192.168.30.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 destination-port eq 53
6[H3C-acl-ipv4-adv-3003] rule deny ip source 192.168.30.0 0.0.0.255
7[H3C-acl-ipv4-adv-3003] quit二、 ACL 应用位置(关键)
1# 应用到 VLAN 40 客户端网关
2[H3C] int Vlan-interface 40
3[H3C-Vlan-interface40] packet-filter 3001 inbound
4[H3C-Vlan-interface40] quit
5
6# 应用到 VLAN 10 文件服务器网关
7[H3C] int Vlan-interface 10
8[H3C-Vlan-interface10] packet-filter 3002 inbound
9[H3C-Vlan-interface10] quit
10
11# 应用到 VLAN 30 备份服务器网关
12[H3C] int Vlan-interface 30
13[H3C-Vlan-interface30] packet-filter 3003 inbound
14[H3C-Vlan-interface30] quit三、 实施注意事项
- IP地址替换:上述代码中的
192.168.x.0仅为示例,请务必替换为您实际环境中各VLAN的真实网段和子网掩码(通配符)。 - 防坑指南:千万不要把
rule deny ip写在第一条!ACL是自上而下逐条匹配的,一旦命中就停止匹配。如果先写了deny all,后面的permit规则将永远不会生效。 - 排错验证:配置完成后,可以使用
display acl 3001查看每条规则的Matched计数。如果某条规则的匹配数一直为0,说明没有对应流量经过,或者被前面的规则拦截了;如果客户端反馈网络不通但匹配数正常增加,说明该请求确实被拒绝了。
- 2026-06-05回答
- 评论(0)
- 举报
-
(0)
1、只允许vlan 40 访问 文件服务器vlan10 的tcp 445,其他拒绝
acl advanced 3999
rule 1 permit tcp source 192.168.40.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 destination-port eq 445
rule 100 deny ip
2、和1一样只是修改下地址和端口号,以及udp和tcp的区别
3;vlan10允许访问vlan30 备份服务器的tcp 6070-6080,访问其他拒绝
acl advanced 3998
rule 1 permit tcp source 192.168.10.0 0.0.0.255 destination 192.168.30.0 0.0.0.255 destination-port range 6070 6080
rule 100 deny ip
4、和1一样
- 2026-06-05回答
- 评论(0)
- 举报
-
(0)
暂无评论
交换机 ACL 配置方案(H3C / 华为通用,三层交换机)
我直接给你可直接复制粘贴的完整配置,严格匹配你的 3 条需求,逻辑严谨、无漏洞。
先说明规则
用高级 ACL(3000~3999)
所有规则最后隐含拒绝所有
接口应用方向:入方向 inbound(最标准、最安全)
你是三层交换机,VLAN 间互访,所以 ACL 应用在 VLANIF 接口
一、完整配置(直接复制用)
1. 允许 VLAN 40 仅访问 VLAN10:445(其他全拒绝)
plaintext
acl advanced 3000
rule 10 permit tcp source 192.168.40.0 0.0.0.255 destination 192.168.10.0 0.0.0.255 destination-port eq 445
rule 100 deny ip
2. VLAN10 访问规则(仅允许到 VLAN20、VLAN30 指定端口)
plaintext
acl advanced 3010
rule 10 permit tcp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 destination-port eq 389
rule 20 permit tcp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 destination-port eq 636
rule 30 permit tcp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 destination-port eq 445
rule 40 permit udp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 destination-port eq 88
rule 50 permit udp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 destination-port eq 53
rule 60 permit tcp source 192.168.10.0 0.0.0.255 destination 192.168.30.0 0.0.0.255 destination-port range 6070 6080
rule 100 deny ip
3. VLAN30 访问规则(仅允许到 VLAN20 域控端口)
plaintext
acl advanced 3020
rule 10 permit tcp source 192.168.30.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 destination-port eq 389
rule 20 permit tcp source 192.168.30.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 destination-port eq 445
rule 30 permit udp source 192.168.30.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 destination-port eq 88
rule 40 permit udp source 192.168.30.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 destination-port eq 53
rule 100 deny ip
二、最关键:接口应用(必须做)
把 ACL 绑定到 对应 VLANIF 的入方向
plaintext
# 客户端VLAN40应用
interface Vlan-interface40
packet-filter 3000 inbound
# 文件服务器VLAN10应用
interface Vlan-interface10
packet-filter 3010 inbound
# 备份服务器VLAN30应用
interface Vlan-interface30
packet-filter 3020 inbound
三、你的网段如果不是 192.168.x.x
把配置里的网段替换成你的真实网段即可:
192.168.10.0 0.0.0.255 → VLAN10 网段
192.168.20.0 0.0.0.255 → VLAN20 网段
192.168.30.0 0.0.0.255 → VLAN30 网段
192.168.40.0 0.0.0.255 → VLAN40 网段
子网掩码写法:反掩码
255.255.255.0 反掩码 = 0.0.0.255
四、规则效果验证(完全满足需求)
VLAN40 客户端
只能访问 VLAN10:445
其他所有访问全部拒绝
VLAN10 文件服务器
能访问 VLAN20:389/636/445 + UDP88/53
能访问 VLAN30:6070~6080
其他全部拒绝
VLAN30 备份服务器
能访问 VLAN20:389/445 + UDP88/53
其他全部拒绝
总结
配置采用高级 ACL + VLANIF 入方向控制,最安全、最标准;
每条规则严格对应你的需求,无多余权限;
最后deny ip拦截所有未明确允许的流量。
- 2026-06-05回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论