华三H3C交换机通过acl控制vlan间的访问

一、功能需求

 现在客户只有一台交换机的情况下需要对内网属于两个不同vlan的客户端之间的访问进行控制。

二、 组网信息：

  如图所示，交换机下面分别接着属于不同vlan的客户端，pc1属于vlan1，pc2属于vlan2。现在要求pc1的电脑可以ping通pc2的电脑，但是pc2的电脑不可以ping通pc1；pc1的电脑可以使用tcp协议对pc2电脑进行访问，但是pc2 的电脑不可以使用tcp协议对pc1电脑的访问。

   三、 组网需求：

1. acl控制列表的配置

1.1 配置acl3000的rule 0对icmp报文的控制。

rule 0 deny icmp source 2.2.2.0 0.0.0.255 destination 1.1.1.0 0.0.0.255 icmp-type echo   //需要在vlan2的虚接口上面引用，对vlan2到vlan1的icmp请求报文进行控制。

1.2 配置acl3000的rule 1对tcp报文的控制。

rule 1 deny tcp source 2.2.2.0 0.0.0.255 destination 1.1.1.0 0.0.0.255 ack 0           //需要在vlan2的虚接口上面引用，对vlan2到vlan1的tcp报文进行控制。

2. acl3000在vlan虚接口下的配置

2.1 将acl3000引用到vlan虚接口

#

interface Vlan-interface2

 ip address 2.2.2.1 255.255.255.0

 packet-filter 3000 inbound   //在vlan2的虚接口下面调用acl3000，inbound方向。

四、 配置要点

1. 配置要点

1.1 acl的rule的配置需要根据acl引用在哪个接口，以及在接口引用acl的方向来确定。

1.2 如上的需求，如果引用在vlan1接口的inbound方向的话，acl3000应该配置如下：

#

acl advanced 3000

 rule 0 deny icmp source 1.1.1.0 0.0.0.255 destination 2.2.2.0 0.0.0.255 icmp-type echo-reply  //针对pc1回应的icmp报文进行控制。

 rule 1 deny tcp source 1.1.1.0 0.0.0.255 destination 2.2.2.0 0.0.0.255 ack 1                //与以上配置作为比较，这次拦截的方向不同，拦截的tcp的ack报文方向也不一样。