H3C AC无线控制器禁止IP段互访ACL配置

     在有些场合,如不同部门,不同接入点,只允许接入Internet,不允许访问内部资源,需要用到ACL
贴个示例,提供参考,本操作适用于支持集中转发模式工作的接入服务。
H3C的AC配置流程,操作在AC无线控制器板上进行.
1. 定义高级访问列表3000开头的
2. 定义规则,规则支持通配符,需要注意使用反掩码
3. 定义流量分类,引入acl
4. 定义行为分类, 配置动作deny
5. 定义QOS策略, 制定流量分类和行为分类
6. 在对应的ESS接口上应用策略

//进入配置模式
sys

//定义高级ACL
//规则0 放行AP来宾段192.168.50.0 – 254 访问 192.168.10.0 – 254 网段,这里的为反掩码也可以匹配IP段,用后面的行为分类做deny操作
acl number 3000
rule 0 permit ip source 192.168.50.0 0.0.0.255 destination 192.168.10.0 0.0.0.255
quit

//定义流量分类 c_deny_ap_guest 匹配 acl 3000
traffic classifier c_deny_ap_guest
if-match acl 3000
quit

//定义行为分类 b_deny_ap_guest 操作拒绝
traffic behavior b_deny_ap_guest
filter deny
quit

//定义QOS策略 p_deny_ap_guest 并指定流量和行为分类
qos policy p_deny_ap_guest
classifier c_deny_ap_guest behavior b_deny_ap_guest
quit

//在Guest SSID对应的BSS接口上应用策略
interface wlan-ess5
qos apply policy p_deny_ap_guest inbound
qos apply policy p_deny_ap_guest outbound
quit

作者: Su

等待完善