H3C 7506E基于时间的分时段上网的ACL

H3C 7506E基于时间的分时段上网的 ACL

在H3C 7506E主交换机上配置：

# h3c >system

[h3c]time-range jnsh 8:00 to 17:00 working-day 

# 定义8:00至17:00的周期时间段为工作日；

#定义基于名字的高级访问控制列表视图，命名为jnsh；

 

[h3c]acl number 3000

#进入3001号的基本访问控制列表视图；

 [h3c-acl]rule 1 {deny/permit} ip source 10.187.1.1 255.255.255.224 destination any time-range jnsh

[h3c-acl]quit

#定义到访问规则----禁止工作日IP地址10.187.1.1的主机访问内网；

[h3c-acl]rule 1 {禁止/允许} ip source IP地址 子网掩码 destination any time-range 控制列表视图

-----------------------------------------------------------

[H3C] traffic classifier jnsh _1

[H3C-classifier-jnsh_1] if-match acl 3000

[H3C-classifier- jnsh_1] quit

# 定义类名jnsh_1，对匹配IPv4 ACL 3000的报文进行分类

 

[H3C] traffic behavior jnsh_2

[H3C-behavior-jnsh_2] filter deny

[[H3C-behavior-jnsh_2] quit

# 定义流行名为jnsh_2，动作为拒绝报文通过

 

[H3C] qos policy jnshqos

[Switch-qospolicy-jnshqos] classifier jnsh_1 behavior jnsh_2

[Switch-qospolicy-jnshqos] quit

# 定义QoS策略jnshqos，为类jnsh_1指定流行为jnsh_2。

 

[h3c]interface G2/0/5

#进入到端口模式

[h3c-Gthernet2/0/5]qos apply policy jnshqos { inbound /outbound}

#将QoS策略jnshqost应用到端口G2/0/5；

MAC地址绑定定义vlan之间的端口

在片区交换机上或者连接终端PC上配置端口：

 

[h3c]mac-address static 00e0-fc22-f8d3

interface G0/1 vlan 100

#完成MAC地址与端口之间的绑定并指定端口所在的vlan ；

 

[h3c]mac-address max-mac-count 0

#设置该端口mac学习数为0，使其他PC接入此端口后其mac地址无法被学习；

 

 

MAC地址与端口之间的绑定

 [H3C]am user-bind mac-address 00e0-fc22-f8d3

interface F0/1

#端口E0/1只允许PC1上网，而使用其他未绑定的MAC地址的PC机则无法上网。但是PC1使用该MAC地址可以在未绑定的其他端口上网；

 

定义防控列表的名字为jnsh

 

定义工作时间上网

基本ACL规则编号，取值范围为0～65534

 

主机IP地址和子网掩码，也可以发布网段

发布防控列表名字jnsh

定义类的名字jnsh_1

定义流的名字jnsh_2

访问规则为拒绝，允许为permit

定义qos 策略名字为：jnshqos

 将qos策略应用到G2/0/5端口上

主机MAC地址

加入端口所在的vlan

主机MAC地址