1 配置需求或说明

1.1适用产品系列

本案例适用于如ICG2000、ICG2000B、ICG2000C、ICG2200、ICG3000、ICG3000B、ICG3000D、ICG3000E、ICG5000、ICG5000B等ICG2000、ICG3000、ICG5000系列的路由器

1.2配置需求及实现的效果

MSR路由器作为下面三个网段，10.1.10.0/24网段、10.1.20.0/24网段和1.1.1.0/24网段的网关。通过配置ACL，仅允许1.1.1.0/24网段的用户访问10.1.10.0/24网段的服务器，不允许访问10.1.20.0/24网段的服务器。网关地址分别为interface Vlan-interface1 1.1.1.1/24，interface Vlan-interface10 10.1.10.1/24，interface Vlan-interface20 10.1.20.1/24。

2 组网图

3 配置步骤

3.1配置acl，接口下下发过滤策略，调用acl

<H3C> system-view

#  使能防火墙功能

[H3C] firewall enable

# 创建IPv4高级ACL 3000，配置两条规则，分别为允许源地址为1.1.10/24网段，目的地址为10.1.10.0/24网段的IP报文通过，以及拒绝其它IP报文通过。

 [H3C] acl number 3000

[H3C-acl-ipv4-adv-3000] rule permit ip source 1.1.1.0 0.0.0.255 destination 10.1.10.0 0.0.0.255

[H3C-acl-ipv4-adv-3000] rule deny ip  

[H3C-acl-ipv4-adv-3000] quit

# 配置包过滤功能，应用IPv4高级ACL 3000，对网关接口收到的IP报文进行过滤。

[H3C] interface Vlan-interface1

[H3C-Vlan-interface1] firewall packet-filter 3000 inbound

3.2检查配置效果

在1.1.1.0/24网段的主机上以10.1.10.0/24网段内的服务器为目的进行ping操作，返回正常应答信息；ping其它网段的主机，此操作返回请求超时信息。

4 保存配置信息

        [H3C]save force