1 配置需求或說明

1.1適用產品係列

本案例適用於如MSR2630、MSR3610、MSR3620、MSR5620、MSR5660、MSR5680等MSR26、MSR36、MSR56係列的路由器。

1.2配置需求及實現的效果

MSR路由器作為下麵三個網段，10.1.10.0/24網段、10.1.20.0/24網段和1.1.1.0/24網段的網關。通過配置ACL，僅允許1.1.1.0/24網段的用戶訪問10.1.10.0/24網段的服務器，不允許訪問10.1.20.0/24網段的服務器。網關地址分別為interface Vlan-interface1 1.1.1.1/24，interface Vlan-interface10 10.1.10.1/24，interface Vlan-interface20 10.1.20.1/24。

2 組網圖

3 配置步驟

3.1配置acl，接口下下發過濾策略，調用acl

# 創建IPv4高級ACL 3000，配置兩條規則，分別為允許源地址為1.1.10/24網段，目的地址為10.1.10.0/24網段的IP報文通過，以及拒絕其它IP報文通過。

<H3C> system-view

[H3C] acl advanced 3000

[H3C-acl-ipv4-adv-3000] rule permit ip source 1.1.1.0 0.0.0.255 destination 10.1.10.0 0.0.0.255

[H3C-acl-ipv4-adv-3000] rule deny ip  

[H3C-acl-ipv4-adv-3000] quit

# 配置包過濾功能，應用IPv4高級ACL 3000，對網關接口收到的IP報文進行過濾。

[H3C] interface Vlan-interface1

[H3C-Vlan-interface1] packet-filter 3000 inbound

3.2檢查配置效果

# 執行display packet-filter命令查看包過濾功能的應用狀態。

[H3C]display packet-filter interface vlan 1

Interface: Vlan-interface1

 Inbound policy:

  IPv4 ACL 3000

上述信息顯示Vlan-interface1接口上已經正確應用了包過濾功能。

在1.1.1.0/24網段的主機上以10.1.10.0/24網段內的服務器為目的進行ping操作，返回正常應答信息；ping其它網段的主機，此操作返回請求超時信息。

4 保存配置信息

        [H3C]save force