ACL訪問控制列表
華為是默認(rèn)允許所有,思科是默認(rèn)拒絕所有
1.acl 兩種:
基本acl(2000-2999):只能匹配源ip地址。
高級acl(3000-3999):可以匹配源ip、目標(biāo)ip、源端口、目標(biāo)端口等三層和四層的字段。
注1:一個接口的同一個方向,只能調(diào)用一個acl
注2:一個acl里面可以有多個rule 規(guī)則,從上往下依次執(zhí)行
注3:數(shù)據(jù)包一旦被某rule匹配,就不再繼續(xù)向下匹配
2.基礎(chǔ)ACL
在R2配置基本acl 拒絕PC1 訪問172.16.10.0 網(wǎng)絡(luò)。
R2:
acl number 2000
rule 5 deny source 192.168.10.1 0 (0表示反掩碼,0為精確匹配)
int e0/0/1 接口下調(diào)用acl 2000
traffic-filter outbound acl 2000 出方向
注意在哪個接口調(diào)用,才好確定出或者如的方向
(int e0/0/0
traffic-filter inbound acl 2000 入方向)
3.高級Acl
在R2上配置高級acl 拒絕PC1和PC2 ping server1,但是允許其HTTP 訪問server1 。
acl number 3000
rule deny icmp source 192.168.10.0 0.0.0.255 destination 172.16.10.2 0 拒絕ping
int e0/0/1
traffice-filter outbound acl 3000
acl 舉例:拒絕源地址192.168.10.2 telnet 訪問12.1.1.2
acl number 3000
rule 5 deny tcp source 192.168.10.2 0 destination 12.1.1.2 0 destination-port eq telnet
[Huawei-acl-adv-3000]rule deny tcp source 192.168.1.2 0 destination 192.168.1.3 0 destination-port eq 5554