H3C三层交换机配置ACL：

ACL可以这拦碰样写：

acl number 3000

rule 5 permit ip source 192.168.33.0 0.0.0.255 destination 192.168.142.106 0

rule 10 deny ip source 192.168.33.0 0.0.0.255 destination 192.168.142.0 0.0.0.255

rule 15 permit ip

然后在vlan下启如衡闭用ACL：

interface vlan 33（192.168.33.0/24所在的vlan接口，在vlan 接口下，启用渣裂上面定义的规则）

packet-filter inbound ip-group 3000

交换机直接用下面的就可以\x0d\x0aacl number 3000\x0d\x0arule permit ip source 1.1.1.1 0 destination 2.2.2.2 0\x0d\x0a \x0d\x0aacl number 2000\x0d\x0arule permit ip source 1.1.1.1 0 \x0d\x0a \x0d\x0aacl 2000-3000 只能定义源\x0d\x0aacl 3000 及以祥穗上可以定义源和目标\x0d\x0a上面是配置实例 permit是允许 deny是拒绝\x0d\x0a定义之颤宴镇后到接口或端口去下发。\x0d\x0aPacket in/out 2000\x0d\x0a\x0d\x0a路由器的话略有不同\x0d\x0a你要先\x0d\x0afiirwall enable 全茄粗局使能防火墙\x0d\x0a定义ACL 同上面的方法定义ACL\x0d\x0a接口下发：firewall packet in/out 3000

添加一个aclacl3001rule0permittcpdestinationserver1-ipdestination-porteq3000rule1permittcpdestinationserver2-ipdestination-porteq3001rule2denytcp注：tcp或者udp,以服务团缺敬扮毕器上端口为准，检查命令塌慎：netstat进入G0/0接口packet-filter3001inbound

---