华为交换中端产品QACL配置案例集

　　考虑了网络安全，用户需要如下要求：

　　21.0：能够访问internet网，但不能访问其他网段；

　　22.0：能够访问其他网段，但不能访问internet网；

　　。。。。

　　。。。。

　　21.0和22.0分别属于vlan2和3，这两个网段内的用户都通过一个3526E接到6506上，请协助确定如何在6506上使用访问控制策略。

　　多谢。

　　【解决方案】

　　1．根据需求的字面意思来配置，思路清晰，但比较浪费表项。

　　21－－22deny

　　21－－23deny

　　21－－24deny

　　21－－25deny

　　21－－26deny

　　21－－27deny

　　22－－anydeny

　　22－－21peimit

　　22－－23peimit

　　22－－24peimit

　　22－－25peimit

　　22－－26peimit

　　22－－27permit

　　2．对需求进行分析，将网段加以合并，可以节省表项。

　　3和4聚合成A：192.168.22.0/23

　　5和8聚合成B：192.168.24.0/22

　　则需求可以简化成禁止2访问A和B,只允许A和B可以互访，禁止A和B访问其他网段。

　　deny2toA

　　deny2toB

　　denyAtoany

　　denyBtoany

　　permitAtoA

　　permitBtoB

　　permitAtoB

　　配置一个acl即可：

　　【案例6】

　　我配置了如下acl，但下发时提示我配置无法下发，请问是为什么？

　　aclnumber100

　　rule1denyipdestination192.168.1.00.0.0.255

　　rule11denyipdestination192.168.0.00.0.0.255

　　rule28permitipsourceanydestination192.168.0.00.0.0.255

　　【问题分析】

　　规则11和28是同一条规则，虽然动作不同，软件禁止同一条规则重复下发。

　　【解决办法】

　　如果想下发后一条规则，应首先删除头一条。