h3c 7503交换机怎么限制某一个IP上网，假如连上网的端口是千兆0/0/30端口，怎么配置？

我只知道先进入这个端口，可是不知道华为交换机怎么写ACL和把这个ACL应用到这个端口。请教！

推荐答案 2011-07-21

其实很简单的诶。看下面的例子：
例如你想让192.168.1.200 这个IP不能访问外网，将使用以下的命令（“/”后面是命令解释）
在系统图示下建立acl 3000 /基于三层协议的acl，范围：3000-3999
[h3c]acl number 3000 /建立3000号acl
[h3c-acl-adv-3000]rule deny ip destination 192.168.1.200 0 /建立规则，动作为不允许（deny），协议为IP，目标为 192.168.1.200 ，“0”是通配符，代表的是单个IP。如果后面跟上反掩码，则代表的是一个网络段。
[h3c-acl-adv-3000]quit /退出acl编辑图示到系统图示
[h3c]traffic classifier test /创建流量分类“test”。其中test为分类名称，可以随便起，以方便记忆或实用为主。
[h3c-classifier-test]if-match acl 3000 /分类类型为：与acl 3000匹配（或者说绑定，看个人理解）。
[h3c-classifier-test]quit /退出到系统图示
[h3c]traffic behavior test /创建流量行为“test”。其中test为分类名称，可以随便起，以方便记忆或实用为主。
[h3c-behavior-test]filter deny /建立过滤规则为：不允许。
[h3c-behavior-test]quit /退出到系统图示
[h3c]qos policy test /建立一个名为test的qos策略，test为策略名字，可以随便起，但以方便记忆、辨认、实用为主。
[h3c-qospolicy-test]classifier test behavior test /将名为test（刚才我们建立的）流量分类与名为test（也是我们刚才建立的）流量行为进行绑定
[h3c-qospolicy-test]quit /退出到系统图示
[h3c]interface GigabitEthernet 0/0/30 /进入千兆0/0/30接口图示
[h3c--GigabitEthernet0/0/30]qos apply policy test inbound /将qos策略“test”应用到进入接口的方向（是外面的数据不能进入该接口）。注意：这里的test为我们刚才建立的qos策略，不是流量行为，也不是流量分类。
到这里整个配置就结束了。其实最重要的还没有说：最重要的是一条命令save。
好了我们整理一下，完整的命令汇总如下：
[h3c]acl number 3000

[h3c-acl-adv-3000]rule deny ip destination 192.168.1.200 0

[h3c-acl-adv-3000]quit

[h3c]traffic classifier test

[h3c-classifier-test]if-match acl 3000

[h3c-classifier-test]quit

[h3c]traffic behavior test

[h3c-behavior-test]filter deny

[h3c-behavior-test]quit

[h3c]qos policy test

[h3c-qospolicy-test]classifier test behavior test

[h3c-qospolicy-test]quit

[h3c]interface GigabitEthernet 0/0/30

[h3c-GigabitEthernet0/0/30]qos apply policy test inbound

[h3c-GigabitEthernet0/0/30]quit

[h3c]save
不知道楼主的0/0/30是不是上行接口，我是按照上行接口来做的。因为只有下发到上行接口，才可以既可以访问局域网同时还可以限制其访问外网。
至于其他的IP是不是会受到影响？这个疑虑你大可不必担心，因为在不做任何规则的条件下，端口默认是转发数据的。
最最后，你可以给分了！嘎嘎……追问

OK了啊，谢谢哈，那我想问下我还想限制其他IP，怎么把其他IP加入这个ACL和QOS策略。谢谢哈~

追答

因为我们的流量分类和流量过滤规则已经通过qos绑定或者说是匹配，所以如果规则已经下发:
第一步就是要取消下发的规则
[h3c-GigabitEthernet0/0/30]undo qos apply policy inbound
第二步进入到acl 3000编辑图示
[h3c-GigabitEthernet0/0/30]quit
[h3c]acl number 3000
[h3c-acl-adv-3000]rule deny ip destination 'ip' 0
[h3c-acl-adv-3000]...... \有多少ip就写多少条命令。如果是一个网络段，那就直接后面跟个反掩码就行了。例如是192.168.0.0/24这个网段都不给他上网。那么我们就可以编辑命令如下：
[h3c-acl-adv-3000]rule deny ip destination 192.168.0.0 0.0.0.255 /后面跟反掩码
第三步再次进入接口编辑图示下发规则
[h3c-acl-adv-3000]quit
[h3c]interface GigabitEthernet 0/0/30
[h3c-GigabitEthernet0/0/30]qos apply policy test inbound
[h3c-GigabitEthernet0/0/30]quit
[h3c]save
另外一种情况是你还没建立规则或者规则还没有下发，那就是按照我之前所说的方法先建立相应的规则或者直接从第二步开始做好了！！
这次应该没有什么问题了吧！！嘎嘎……

温馨提示：答案为网友推荐，仅供参考

当前网址：http://77.wendadaohang.com/zd/YqWpppIN3.html

其他回答

第1个回答 2011-07-20

封锁ip上网的话，在S7503上做不现实，应该在出口的路由器上写命令。
你的核心是S7503。路由器也应该是H3C的MSR系列的吧。进入命令行后在系统模式下使用
[h3c]ip rout 192.168.1.200 255.255.255.255 null 0

这个的命令的作用是将ip192.168.1.200的数据包到达路由器后全部丢弃，来实现ip不能上网。追问

不是，没有路由器，S7503连的是思科的ASA防火墙

追答

那你就的在ASA里做acl来快哦估值。cisco不熟，没法帮你

追问

那大侠能不能告诉我在s7503上面如果要写是怎么写的，我想要练习下，比如限制192.168.1.200 这个IP不能上网。全过程，谢谢哈！

追答

acl number 3000 定义允许访问的3个私网段，如果你内网有其他地址段请添加进来
rule 0 permit ip source 192.168.1.200 0 destination 10.0.0.0 0.255.255.255
rule 5 permit ip source 192.168.1.200 0 destination 172.0.0.0 0.255.255.255
rule 10 permit ip source 192.168.1.200 0 destination 192.168.0.0 0.0.255.255
acl number 3001 定义禁止访问所有的acl
rule 0 deny ip source 192.168.1.200 0
#
traffic classifier permit 定义类并绑定acl
if-match acl 3000
traffic classifier deny 定义类并绑定acl
if-match acl 3001
#
traffic behavior permit 定义行为并绑定动作
filter permit
traffic behavior deny 定义行为并绑定动作
filter deny
#
qos policy x 定义策略，将两个行为和类绑定，顺序必须是permit后deny
classifier permit behavior permit 顺序1
classifier deny behavior deny 顺序2
#
int g0/0/30
qos apply policy x in 下发策略实现允许访问所有内网网段但禁止访问外网所有ip

本回答被提问者采纳

相似回答

大家正在搜

h3c s5500交换机配置 h3c s5560交换机配置超级终端配置h3c交换机 h3c交换机怎么设置 h3c交换机光口配置 h3c交换机配置软件 h3c交换机配置vlan h3c7003和7503 h3c7503e配置手册