核心9700，IP地址192.168.1.1
用户网段10.1.1.1/24，20.1.1.1/24,30.1.1.1/24。。。。。

其中一个要求是阻止用户网段的所有机器通过http登陆核心设备192.168.1.1

请教各位大侠，如何配置ACL？

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

配置只允许指定ip 地址能http 到9700上，其余的用户网段默认不能访问9700

policy condition httpallow source ip 192.168.1.222 destination network group Switch destination tcp port 80
policy action httpallow disposition accept
policy rule httpallow condition httpallow action httpallow precedence 201
policy condition httpdeny destination network group Switch destination tcp port 80
policy action httpdeny disposition drop
policy rule httpdeny condition httpdeny action httpdeny precedence 200
qos apply

!Switch第一个字母必须大写


－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
如果要限制telnet的，只要把端口改成23即可

强！
谢了，楼上的！
好好学习中。。。。。。

楼上.强人..

配置只允许指定ip 地址能http 到9700上，其余的用户网段默认不能访问9700

policy condition httpallow source ip 192.168.1.222 destination network group Switch destination tcp port 80
policy action httpallow disposition accept
policy rule httpallow condition httpallow action httpallow precedence 201
policy condition httpdeny destination network group Switch destination tcp port 80
policy action httpdeny disposition drop
policy rule httpdeny condition httpdeny action httpdeny precedence 200
qos apply

!Switch第一个字母必须大写

请注意：因为 Switch 是一个动态的group（包括交换机上所有三层接口的IP），如果三层接口地址很多时会影响性能，建议改为
policy condition httpallow source ip 192.168.1.222 destination tcp port 80