H3C 7506E基于时间的分时段上网的ACL
在H3C 7506E主交换机上配置:
# h3c >system
# 定义8:00至17:00的周期时间段为工作日;
#定义基于名字的高级访问控制列表视图,命名为jnsh;
[h3c]acl number 3000
#进入3001号的基本访问控制列表视图;
[h3c-acl]quit
#定义到访问规则----禁止工作日IP地址10.187.1.1的主机访问内网;
[h3c-acl]rule 1 {禁止/允许} ip source IP地址 子网掩码 destination any time-range 控制列表视图
-----------------------------------------------------------
[H3C] traffic classifier jnsh _1
[H3C-classifier-jnsh_1] if-match acl 3000
[H3C-classifier- jnsh_1] quit
# 定义类名jnsh_1,对匹配IPv4 ACL 3000的报文进行分类
[H3C] traffic behavior jnsh_2
[H3C-behavior-jnsh_2] filter deny
[[H3C-behavior-jnsh_2] quit
# 定义流行名为jnsh_2,动作为拒绝报文通过
[H3C] qos policy jnshqos
[Switch-qospolicy-jnshqos] classifier jnsh_1 behavior jnsh_2
[Switch-qospolicy-jnshqos] quit
# 定义QoS策略jnshqos,为类jnsh_1指定流行为jnsh_2。
[h3c]interface G2/0/5
#进入到端口模式
[h3c-Gthernet2/0/5]qos apply policy jnshqos { inbound /outbound}
#将QoS策略jnshqost应用到端口G2/0/5;
MAC地址绑定定义vlan之间的端口
在片区交换机上或者连接终端PC上配置端口:
[h3c]mac-address static 00e0-fc22-f8d3
interface G0/1 vlan 100
#完成MAC地址与端口之间的绑定并指定端口所在的vlan ;
[h3c]mac-address max-mac-count 0
#设置该端口mac学习数为0,使其他PC接入此端口后其mac地址无法被学习;
MAC地址与端口之间的绑定
[H3C]am user-bind mac-address 00e0-fc22-f8d3
interface F0/1
#端口E0/1只允许PC1上网,而使用其他未绑定的MAC地址的PC机则无法上网。但是PC1使用该MAC地址可以在未绑定的其他端口上网;
定义防控列表的名字为jnsh
定义工作时间上网
基本ACL规则编号,取值范围为0~65534
主机IP地址和子网掩码,也可以发布网段
发布防控列表名字jnsh
定义类的名字jnsh_1
定义流的名字jnsh_2
访问规则为拒绝,允许为permit
定义qos 策略名字为:jnshqos
将qos策略应用到G2/0/5端口上
主机MAC地址
加入端口所在的vlan
主机MAC地址
