ACL访问控制列表
华为是默认允许所有,思科是默认拒绝所有
1.acl 两种:
基本acl(2000-2999):只能匹配源ip地址。
高级acl(3000-3999):可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段。
注1:一个接口的同一个方向,只能调用一个acl
注2:一个acl里面可以有多个rule 规则,从上往下依次执行
注3:数据包一旦被某rule匹配,就不再继续向下匹配
2.基础ACL
在R2配置基本acl 拒绝PC1 访问172.16.10.0 网络。
R2:
acl number 2000
rule 5 deny source 192.168.10.1 0 (0表示反掩码,0为精确匹配)
int e0/0/1 接口下调用acl 2000
traffic-filter outbound acl 2000 出方向
注意在哪个接口调用,才好确定出或者如的方向
(int e0/0/0
traffic-filter inbound acl 2000 入方向)
3.高级Acl
在R2上配置高级acl 拒绝PC1和PC2 ping server1,但是允许其HTTP 访问server1 。
acl number 3000
rule deny icmp source 192.168.10.0 0.0.0.255 destination 172.16.10.2 0 拒绝ping
int e0/0/1
traffice-filter outbound acl 3000
acl 举例:拒绝源地址192.168.10.2 telnet 访问12.1.1.2
acl number 3000
rule 5 deny tcp source 192.168.10.2 0 destination 12.1.1.2 0 destination-port eq telnet
[Huawei-acl-adv-3000]rule deny tcp source 192.168.1.2 0 destination 192.168.1.3 0 destination-port eq 5554