H3C ACL配置命令指南

H3C ACL配置命令详解

ACL（访问控制列表）是H3C网络设备的核心安全功能，用于过滤流量、控制访问权限，以下是详细配置步骤及示例，基于H3C Comware V7操作系统。

ACL基础概念

1. ACL类型

   • 基本ACL（2000-2999）：基于源IP地址过滤。
   • 高级ACL（3000-3999）：基于源/目的IP、协议类型（TCP/UDP/ICMP）、端口号等。
   • 二层ACL（4000-4999）：基于MAC地址、VLAN ID等。

2. 匹配规则

   • permit：允许通过
   • deny：拒绝通过
   • 规则从上到下执行，命中即停止。

ACL配置命令步骤

创建ACL

# 创建基本ACL 2000  
system-view  
acl basic 2000  
# 创建高级ACL 3000  
acl advanced 3000  

配置ACL规则

• 基本ACL示例：禁止源IP 168.1.10 访问

  rule 5 deny source 192.168.1.10 0  # 0表示精确匹配  
  rule 10 permit source any         # 允许其他所有IP  

• 高级ACL示例：禁止168.1.0/24访问Web服务（TCP 80）

  rule 5 deny tcp source 192.168.1.0 0.0.0.255 destination any destination-port eq 80  

• 二层ACL示例：过滤MAC地址

  acl mac 4000  
  rule 5 deny source-mac 0001-0203-0405 ffff-ffff-ffff  

应用ACL到接口/全局

• 应用在接口入方向：

  interface GigabitEthernet 1/0/1  
  packet-filter inbound ip-group 3000  # 应用ACL 3000  

• 应用在VLAN虚接口：

  interface Vlan-interface 10  
  packet-filter inbound ip-group 2000  

• 应用在全局控制台登录（限制管理访问）：

  user-interface vty 0 4  
  acl 2000 inbound  

关键命令详解

通配符掩码：0表示精确匹配，255表示忽略（如 0.0.255 匹配整个网段）。

配置示例

场景：禁止168.2.0/24访问服务器1.1.5的SSH服务（TCP 22）。

system-view  
acl advanced 3001  
 rule 10 deny tcp source 192.168.2.0 0.0.0.255 destination 10.1.1.5 0 destination-port eq 22  
 rule 100 permit ip  # 放行其他流量  
quit  
interface GigabitEthernet 1/0/2  # 服务器所在接口  
 packet-filter inbound ip-group 3001  

注意事项

1. 规则顺序：优先级由规则ID决定（ID越小优先级越高）。
2. 隐含拒绝：ACL末尾自动添加 deny any，未匹配规则的数据包将被丢弃。
3. 修改规则：
   • 删除单条规则：undo rule <ID>
   • 清空ACL：reset acl all
4. 查看ACL：

   display acl all          # 查看所有ACL  
   display packet-filter    # 查看接口应用状态  

故障排查

• 流量未被过滤：检查ACL是否绑定到正确接口及方向（inbound/outbound）。
• 规则冲突：使用 display acl <编号> 确认规则顺序。
• 未放行必要流量：确保ACL末尾有 permit ip 放行管理流量。

参考：H3C官方文档《ACL配置指导》（Comware V7）
更新日期：2025年10月
声明：本文基于H3C设备实测编写，适用于主流型号（如S6850、MSR系列），配置前请备份设备数据。