为了过滤通过网络设备的数据包，需要配置一系列的匹 配规则，以识别需要过滤的对象。在识别出特定的对象之后 ，网络设备才能根据预先设定的策略允许或禁止相应的数据 包通过。 访问控制列表（ ，）就是用来实现 这些功能。
通过一系列的匹配条件对数据包进行分类，这些条件可 以是数据包的源地址、目的地址、端口号等。可应用在 交换机全局或端口上，交换机根据中指定的条件来检测 数据包，从而决定是转发还是丢弃该数据包。
3
不带标签的 以太网帧
3

2
9
配置命令（1）
创建.
100 (1-4094)
删除.
100 (1-4094)
在中增加端口.
2/0/1
在中删除端口.
2பைடு நூலகம்0/1
将端口加入
100 (1-4094)
将端口脱离
100 (1-4094)
显示信息
(1-4094)

10
配置命令（2）

39
高级访问控制列表的规则配置
在高级访问控制列表视图下，配置相应的规则 [ ]{ | } [ | ][ | ] [ 1[2]][ 1[2]][
[ ]|[ ][ ][ ] 在高级访问控制列表视图下，删除一条子规则 [ ][ ][ ][ ] [ ][ ]|[ ][ ] [ ]
交换机基本配置及网络维护培训
1.0
日期： 2013.7.1
目录
第一章 原理及基本配置 第二章 原理及基本配置 第三章 原理及基本配置 第四章 设备管理基本配置 第五章 常用维护方法和命令
的产生原因－广播风暴
传统的以太网是广播型网络，网络中的所有主机通过或交换机相连， 处在同一个广播域中
假设管理员需要在从2002年12月1日上午8点到 2003年1月1日下午18点的时间段内实施安全策略， 可以定义时间段名为，具体配置如下:
[H3C] 8:00 12-01-2002 18:00 01-01-2003

36
访问控制列表的类型
2000～2999：表示基本。只根据数据包的源地址制定规 则。

30
以太网访问列表
主要作用:在整个网络中分布实施接入安全性
服务器
部门 B
部门 A

31
访问控制列表
对到达端口的数据包进行分类，并打上不同的动作标记
访问列表作用于交换机的所有端口 访问列表的主要用途： 包过滤 镜像 流量限制 流量统计 分配队列优先级


19
注意事项
1 -缺省就有，不需要创建，也无法删除 -不建议用作业务 -可以用作管理 链路 -只允许所需的通过，不要配置 -最好配置上 1

20
目录
第一章 原理及基本配置 第二章 原理及基本配置 第三章 原理及基本配置 第四章 设备管理基本配置 第五章 常用维护方法和命令

16
配置 A
# 创建100，并配置100的描述字符串为“1”，将端口1/0/1加 入到100。 <> [] 100 [100] 1 [100] 1/0/1 [100] # 创建200，并配置200的描述字符串为“2”。 [] 200 [200] 2 [200] # 创建100和200的接口，地址分别配置为192.168.1.1和192.168.2.1，用 来对1发往2的报文进行三层转发。 [] 100 [100] 192.168.1.1 24 [100] [] 200 [200] 192.168.2.1 24
32
流分类
通常选择数据包的包头信息作为流分类项 2层流分类项 以太网帧承载的数据类型 源/目的地址 以太网封装格式
入/出端口 3/4层流分类项 协议类型 源/目的地址 源/目的端口号

33
数据包过滤
包过滤元素
源/目的地址 源/目的端口号
应用程序和数据
L34过滤
应用网关

广播
……

3
通过路由器隔离广播域
路由器
广播
……

4
通过划分广播域
1
3
10
2
30
20
工程部

市场部
财务部
5
以太网端口的链路类型
：只能允许某一个的数据流通过。 ：允许多个的数据流和某一个的数据流通过。 ：允许多个的数据流和多个的数据流通过。
生成树
（ ，生成树协议）是根据协会制定的802.1D标 准建立的，用于在局域网中消除数据链路层物理 环路的协议。运行该协议的设备通过彼此交互报 文发现网络中的环路，并有选择的对某些端口进 行阻塞，最终将环路网络结构修剪成无环路的树 型网络结构，从而防止报文在环路网络中不断增 生和无限循环，避免主机由于重复接收相同的报 文造成的报文处理能力下降的问题发生。

37
定义访问控制列表
在系统视图下，定义并进入访问控制列表视图: { | | | |}[ { | }] 在系统视图下，删除: { | |}

38
基本访问控制列表的规则配置
在基本访问控制列表视图下，配置相应的规则 [ ]{ | } [ | ][ ][ ] 在基本访问控制列表视图下，删除一条子规则 [ ][ ][ ]
Host B
172.16.1.2/24
Switch
Vlan-int1 172.16.1.1/24 172.16.2.1/24 sub
172.16.2.2/24
172.16.2.0/24
Host A

15
配置举例
Server2
Server1
SwitchA
Eth1/0/2
Eth1/0/1
3000～3999：表示高级（3998与3999是系统为集群管理 预留的编号，用户无法配置）。根据数据包的源地址、目 的地址、承载的协议类型、协议特性等三、四层信息制定 规则。
4000～4999：表示二层。根据数据包的源地址、目的地 址、802.1p优先级、二层协议类型等二层信息制定规则。
5000～5999：表示用户自定义。以数据包的头部为基准 ，指定从第几个字节开始与掩码进行“与”操作，将从报文 提取出来的字符串和用户定义的字符串进行比较，找到匹 配的报文。

13
静态路由的配置命令和示例
[H3C] { | } { | } [ ] [ | ]
例如：
129.1.0.0 16 10.0.0.2 129.1.0.0 255.255.0.0 10.0.0.2 129.1.0.0 16 2/0

14
主从地址举例
172.16.1.0/24
用户如果将某个端口指定为边缘端口，那么当该端口由阻塞 状态向转发状态迁移时，这个端口可以实现快速迁移，而无 需等待延迟时间。 在交换机没有开启保护的情况下，如果被设置为边缘 端口的端口上收到来自其它端口的报文，则该端口会 重新变为非边缘端口。
对于直接与终端相连的端口，请将该端口设置为边缘端口， 同时启动保护功能。这样既能够使该端口快速迁移到 转发状态，也可以保证网络的安全。
定义端口属性为. 删除端口属性. 定义端口可以传输的. 在中删除端口.

11
配置虚接口
为已存在的创建对应的接口，并进入 接口视图
删除一个接口
*缺省情况下，在交换机上不存在接口 *可以通过 命令配置地址，使接口可以为在该 范围内接入的设备提供基于层的数据转发功能 *在创建接口之前，必须先创建对应的，否则无 法创建接口

25
边缘端口配置
命令用来将当前的以太网端 口配置为边缘端口
命令用来将当前的以太网 端口配置为非边缘端口
命令用来将当前的以太网端 口恢复为缺省状态，即非边缘端口。
*缺省情况下，交换机所有以太网端口均被配置为非 边缘端口

26
的交换机保护功能
2. 保护功能 边缘端口接收到配置消息后，系统会自动将这些端口

17
配置 B
# 创建100，并配置100的描述字符串为“1”，将端口 1/0/13加入到100。 <> [] 100 [100] 1 [100] 1/0/13 [103] # 创建200，并配置200的描述字符串为“2”，将端口 1/0/11和1/0/12加入到200。 [] 200 [200] 2 [200] 1/0/11 1/0/12 [200]
。这种不 合法的变动，会导致原来应该通过高速链路的流量
被牵引到 低速链路上，导致网络拥塞。
命令用来指定当前交换机作为指
定生成树实例的根桥。
ww命w.h3令用来取消当前交换机作为指定生
24
优化-边缘端口
边缘端口是指不直接与任何交换机连接，也不通过端口所连 接的网络间接与任何交换机相连的端口。

12
配置地址
命令用来配置接口接口的地址 和掩码
命令用来删除接口接口的 地址和掩码
{ | }[ ] [ { | }[ ]]
*在一般情况下，一个接口接口/网络管理接口配置一个 地址即可，但为了使交换机的一个接口接口/网络管理 接口可以与多个子网相连，一个接口接口/网络管理接口 最多可以配置多个地址，其中一个为主地址，其余为从地址
] [ ][ ]

40
端口操作符及语法
协议支持的端口操作符及语法
操作符及语法
1 2
含义
等于
大于
小于
不等于 介于端口号1和
2之间

41
接口访问控制列表的规则配置
在接口访问控制列表视图下，配置相应的规则 [ ]{ | }[ { | | }] [ ] 在接口访问控制列表视图下，删除一条子规则

22
配置命令
启动全局特性 关闭全局特性
*全局开启后，每个接口下的功能也被打开
接口视图下关闭特性 接口下开启特性