访问控制列表的使用用途是依靠数字的范围来指定的,1000~1999 是基于接口的访问控制列表,2000~2999 范围的访问控制列表是基本的访问控制列表,3000~3999范围的访问控制列表是高级的访问控制列表。有两种匹配顺序:配置顺序、自动排序:acl number acl-number [ match-order { config | auto } ]
H3C ACL应用到接口的几种命令:
一、packet-filter inbound ip-group acl-number(版本3.10)
二、firewall packet-filter 3000 inbound (用于SecPach和版本5.20)
三、QOS方法
1. # 定义acl
acl number 3001
rule deny ip source 1.1.1.1 0
acl number 3002
rule permit ip source 1.0.0.0 0.255.255.255
2.# 配置拒绝接收源地址为1.1.1.1报文的类和流行为
traffic classifier 1
if-match acl 3001
traffic behavior 1
filter deny
# 配置允许其他源地址的类和流行为
traffic classifier 2
if-match acl 3002
traffic behavior 2
filter permit
# 配置策略
qos policy test
classifier 1 behavior 1
classifier 2 behavior 2
# 应用策略
interface Ethernet 1/0/1
qos apply policy test inbound
3. 配置关键点:
1)ACL最终的匹配动作是permit还是deny,不由ACL中rule的动作决定,而是由此ACL所对应的behavior的动作决定的。
2)对于既有permit又有deny要求的访问控制,必须规定两个behavior,一个为permit,一个为deny。
该文章讲述了H3C NAT配置实例.
H3C NAT配置:
1、配置静态地址转换:一对一静态地址转换:[system] nat static ip-addr1 ip-addr2
静态网段地址转换: [system] nat static net-to-net inside-start-address inside-end-address global global-address mask
应用到接口: [interface]nat outbound static
2、多对多地址转换:[interface]nat outbound acl-number address-group group-number no-pat
3、配置NAPT:[interface]nat outbound acl-number [ address-group group-number ]
两个特殊的NAPT:
Easy IP: [interface]nat outbound acl-number (转化为接口地址)
Lookback:[interface]nat outbound acl-number interface loopback interface-number (转化为loopback地址)
4、双向地址转换:[system]nat overlapaddress number overlappool-startaddress temppool-startaddress { pool-length pool-length | address-mask mask } (需要结合outbound命令)
5、配置内部服务器:[interface]nat server
6、地址转换应用层网关:[system]nat alg (专门针对ftp之类对NAT敏感的协议)
