1.1 適用產品係列

本案例適用於如S3100V3-28TP-SI、S3100V3-28TP-EI、S3100V3-20TP-PWR-SI、S3100V3-28TP-PWR-EI等S3100V3係列的交換機。   

1.2配置注意事項

在ACL規則中，設備通過通配符掩碼（如0.0.0.255）來確定要匹配的IP地址範圍。例如要匹配源地址為1.1.0.0/16網段，規則中應輸入source 1.1.0.0 0.0.255.255。

在配置時要特別注意ACL規則的配置順序，如果先配置了拒絕所有IP報文通過的規則，則指定網段之間的IP報文也將被過濾，無法實現組網需求。

1.3配置需求及實現的效果

交換機的GigabitEthernet1/0/1端口下連接了兩個網段的主機，要求通過配置ACL，僅允許10.1.2.0/24網段訪問100.1.1.0/24網段的報文通過，而拒絕其它報文通過。

 2 組網圖

3.1配置acl，接口下下發過濾策略，調用acl

# 創建IPv4高級ACL 3000，配置兩條規則，分別為允許源地址為10.1.2.0/24網段，目的地址為100.1.1.0/24網段的IP報文通過，以及拒絕其它IP報文通過。

<H3C> system-view

[H3C] acl number 3000

[H3C-acl-ipv4-adv-3000] rule permit ip source 10.1.2.0 0.0.0.255 destination 100.1.1.0 0.0.0.255

[H3C-acl-ipv4-adv-3000] rule deny ip  

[H3C-acl-ipv4-adv-3000] quit

說明：如果acl number 3000無法寫上去的話可能是由於交換機的軟件版本不同導致，此時修改為acl advanced 3000的寫法就可以了。

# 配置包過濾功能，應用IPv4高級ACL 3000對端口GigabitEthernet1/0/1收到的IP報文進行過濾。

[H3C] interface gigabitethernet 1/0/1

[H3C-GigabitEthernet1/0/1] packet-filter 3000 inbound

3.2檢查配置效果

# 執行display packet-filter命令查看包過濾功能的應用狀態。

[H3C] display packet-filter interface GigabitEthernet 1/0/1

  Interface: GigabitEthernet1/0/1

  In-bound Policy:

    acl 3000, Successful

上述信息顯示GigabitEthernet1/0/1端口上已經正確應用了包過濾功能。

在10.1.2.0/24網段的主機上以100.1.1.0/24網段內的服務器為目的進行ping操作，返回正常應答信息；在其它網段的主機上執行此操作返回請求超時信息。

4保存配置信息

[H3C]save force