環(huán)境：

H3C S6520-26Q-SI

軟件版本：7.1.070 Release 6326

問題描述：

H3C交換機ACL已經配置一個A網段拒絕訪問另外一個B網段， 怎么允許A網段訪問B網段中一個ip,已寫一條規(guī)則20，一直沒有起作用

解決方案：

1.刪除rule 20,重新寫個rule 0,排在拒絕規(guī)則之前,即可

2.全部配置參考

配置acl，接口下下發(fā)過濾策略，調用acl # 創(chuàng)建IPv4高級ACL 3000，配置兩條規(guī)則，分別為允許源地址為10.1.2.0/24網段，目的地址為100.1.1.0/24網段的IP報文通過，以及拒絕其它IP報文通過。

<H3C> system-view   //進入系統(tǒng)視圖
  
[H3C] acl number 3000 //創(chuàng)建IPv4高級ACL 3000
 
[H3C-acl-adv-3000]  rule 2  permit  ip  source  10.1.2.0  0.0.0.255  destination 100.1.1.0 0.0.0.255   //允許源地址為10.1.2.0/24網段，目的地址為100.1.1.0/24網段的IP報文通過 

[H3C-acl-adv-3000] rule deny ip   //拒絕其它IP報文通過 

[H3C-acl-adv-3000] quit   //退出當前視圖 說明：如果acl number 3000無法寫上去的話可能是由于交換機的軟件版本不同導致，此時修改為acl advanced 3000的寫法就可以了。 

#配置包過濾功能，應用IPv4高級ACL 3000對端口GigabitEthernet1/0/1收到的IP報文進行過濾。 

[H3C] interface gigabitethernet 1/0/1   //進入g1/0/1接口 

[H3C-GigabitEthernet1/0/1] packet-filter 3000 inbound   //配置包過濾功能，應用IPv4高級ACL 3000對端口GigabitEthernet1/0/1收到的IP報文進行過濾

vlanif接口下配置

interface Vlan-interface25

[H3C-Vlan-interface25]packet-filter 3000 inbound

刪除配置

[H3C]interface Vlan-interface25
[H3C-Vlan-interface25]undo packet-filter 3000 inbound


[H3C]acl number 3000
[H3C-acl-ipv4-adv-3000]undo rule 2

檢查配置效果 
# 執(zhí)行display packet-filter命令查看包過濾功能的應用狀態(tài)。 [H3C] display packet-filter interface GigabitEthernet 1/0/1   Interface: GigabitEthernet1/0/1   In-bound Policy:     acl 3000, Successful 上述信息顯示GigabitEthernet1/0/1端口上已經正確應用了包過濾功能。 在10.1.2.0/24網段的主機上以100.1.1.0/24網段內的服務器為目的進行ping操作，返回正常應答信息；在其它網段的主機上執(zhí)行此操作返回請求超時信息。

3.案例2
拒絕源192.168.25.2地址數據包，訪問任何地址的ACL文章來源地址http://www.zghlxwxcb.cn/news/detail-636539.html

[H3C]acl number 3000
[H3C-acl-ipv4-adv-3000]rule 2 deny ip source 192.168.25.2 0

應用在vlanif接口下
[H3C]interface Vlan-interface25

[H3C-Vlan-interface25]packet-filter 3000 inbound

到了這里，關于H3C交換機ACL已經配置一個A網段拒絕訪問另外一個B網段， 怎么允許A網段訪問B網段中一個ip的文章就介紹完了。如果您還想了解更多內容，請在右上角搜索TOY模板網以前的文章或繼續(xù)瀏覽下面的相關文章，希望大家以后多多支持TOY模板網！