ACL包过滤防火墙技术是我们学习NE的重要技术,H3C V7设备默认包过滤防火墙功能就开启了,默认的规则是permit。今天的技术帖我们就给大家介绍针对ICMP协议的包过滤。
拓扑图如下图所示:
RT1和RT3配置正确的路由之后,10.1.1.1可以ping通20.1.1.2,配置包过滤防火墙功能,让10.1.1.1 ping不通 20.1.1.2,但是20.1.1.2能ping通10.1.1.1。
思路:一般我们ping 某一个地址,会向对方发送echo的请求报文,等待对方回送echo reply的应答,此时就可以配置包过滤针对icmp的报文做过滤。
RT1的配置如下所示:
[RT1]acladvanced 3000 //配置高级的ACL
[RT1-acl-ipv4-adv-3000]rule0 deny icmp source 10.1.1.1 0.0.0.0 destination 20.
1.1.20.0.0.0 icmp-type echo //拒绝10.1.1.1发往20.1.1.2的icmp的请求报文
[RT1]interfaceGigabitEthernet 0/0
[RT1-GigabitEthernet0/0]packet-filter3000 outbound //包过滤防火墙在接口生效
配置成功之后,拿10.1.1.1 ping 20.1.1.2发现ping不通,因为icmp的请求报文已经被过滤,如下图所示:
但是20.1.1.2可以ping通10.1.1.1,因为20.1.1.2发往10.1.1.1的icmp请求报文没有被过滤,匹配默认规则permit,如下图所示: