基於華三交換機，限制其他網段的IP訪問

限制某網段IP訪問

有時工作需要，需要限制某些網段的IP訪問。

以下操作在telnet上進行，基於hc交換機。

1. 需要被限制範文的設備是連接在203.2.1.1的交換機上，首先需要連接交換機，
   telnet 連接 203.2.1.1 或者 203.1.1.1 密碼 xxxxxx

   Password:
   <L3>
   <L3>system-view
   System View: return to User View with Ctrl+Z.
   [L3]
   

2. 查看ACL，當前測試使用的是203.1.2網段，對應的acl規則號是3512

   [L3]acl number 3512
   [L3-acl-adv-3512]
   

3. 查看3512下的所有rule規則

   [L3-acl-adv-3512]di this
   #
   acl number 3512
    rule 1 permit ip source 203.2.1.66 0
    rule 2 permit ip source 203.2.1.48 0
    rule 3 permit ip source 203.2.1.18 0
    rule 4 permit ip source 203.2.1.36 0
    rule 5 permit ip source 203.2.1.46 0
    rule 6 permit ip source 203.2.1.50 0
    rule 7 permit ip source 203.2.1.47 0
    rule 100 deny ip source 209.0.0.0 0.255.255.255
    rule 101 deny ip source 203.2.0.0 0.0.255.255
    rule 102 deny ip source 203.1.1.0 0.0.0.255
    rule 103 deny ip source 203.1.7.0 0.0.0.255
   

   rule後面的數字表示優先級，數字越小優先級越高。所以如果需要在某被限制的網段中添加白名單，需要將白名單IP的rule優先級，設置地比當前限制網段的rule優先級高。

   拿 rule 1 permit ip source 203.2.1.66 0 來看，這裏的IP地址後面的0是通配符掩碼，0代表，0.0.0.0，意味着這隻允許一個IP地址 203.2.1.66 訪問，換成其他如 203.2.1.67 就不可以了；假如需要1-254 都可以訪問，那麼後面的通配符就要變成，0.0.0.255，即比如 rule 1 permit ip source 203.2.1.47 0.0.0.255，0代表精確匹配，255代表模糊匹配。

4. 退出當前狀態

   [L3-acl-adv-3501]qu
   [L3]qu
   <L3>
   

5. 添加限制規則

   rule 100 deny ip source 209.0.0.0 0.255.255.255  # 限制209網段的所有設備訪問203.2.1.x 
   rule 101 deny ip source 203.2.0.0 0.0.255.255  # 限制203.2.x.x網段設備訪問203.2.1.x 
   rule 102 deny ip source 203.1.1.0 0.0.0.255  # 限制203.1.1.x網段設備訪問203.2.1.x 
   

6. 添加白名單

    rule 1 permit ip source 203.2.1.66 0  # 允許203.2.1.66地址訪問203.2.1.x 
   

7. 刪除規則

   undo rule 1 # 刪除規則1
   undo rule 100 # 刪除規則100
   

   使用 undo rule n 來刪除配置的規則，n爲優先級數字。

   ---

   以下操作很少用：

8. 查看當前交換機中wlan的所有acl： di cur

   [L3]di cur
   #
    version 5.20, Release 1211P03
   #
    sysname L3
   #
    clock timezone GTS-8 add 08:00:00
   #
    ftp server enable
   #
    irf mac-address persistent timer
    irf auto-update enable
    undo irf link-delay
   #
    domain default enable system
   #
    ipv6
    ipv6 unreachables enable
   #
    telnet server enable
   #
    acl logging frequence 1440
   #
    multicast routing-enable
   #               
   acl number 2501   # 這些就是想要查看的acl number
   #
   acl number 3000   
   acl number 3001
   acl number 3014
   acl number 3015
   acl number 3500
    description For_Vlan3011
    rule 1 permit ip source 203.2.1.101 0
    rule 2 permit ip source 203.5.1.239 0
    rule 3 permit ip source 203.2.1.245 0
   

9. 配置acl

   # 接着上一步，選取di cur後的打印信息中的部分
   interface Vlan-interface3014
    description PktFlt outb for Filtering packets from outside Vlan3014
    ipv6 address 2001:0:0:104::1/64
    ip address 203.1.4.1 255.255.255.0
    igmp enable
    pim sm
    packet-filter 3501 outbound   # 可以看到這個網段已經配置了acl規則，number爲3501
   #
   interface Vlan-interface3015
    ip address 203.1.5.1 255.255.255.0  # 可以看到這個網段沒有配置acl規則 
    pim sm
   #            
                   
   # 準備給 203.1.5.1 255.255.255.0 配置acl      
   [L3]interface Vlan-interface3015
   [L3-Vlan-interface3015]packet-filter 3515 outbound  # 選擇一個不存在的acl數字，這裏面number=3515
   [L3-Vlan-interface3015]di this
   #
   interface Vlan-interface3015
    ip address 203.1.5.1 255.255.255.0
    pim sm
    packet-filter 3515 outbound
   #
   return
   [L3-Vlan-interface3015]