acl3000和acl2000

转载至:https://www.csdn.net/tags/MtjaQg2sODExOTctYmxvZwO0O0OO0O0O.html

ACL(access control list)


定义:由一系列规则组成的集合。设备可以通过这些规则对数据包进行分类,并对不同类型的报文进行不同的处理。

分类:

         1、基本ACL,编号范围2000~2999,通过源ip进行匹配;

         2、高级ACL,编号范围3000~3999,可以使用报文的源/目的IP地址、源/目的端口号以及协议类型等信息来匹配报文;

         3、高级ACL,编号范围4000~4999,可以使用源/目的MAC地址以及二层协议类型等二层信息来匹配报文;

ACL规则:由运行permit和拒绝deny这样的逻辑构成一条条规则,一个ACL可以有多条规则,多条规则的优先级不同,一个接口的一个方向只能调用一个ACL;

匹配规则:

         1、配置顺序,按ACL规则编号(rule-id)从小到大的顺序迚行匹配,默认写的第一条规则的编号为5,ARG3系列路由器默认规则编号的步长是5,故下一跳规则的编号为10;

         2、自劢排序,使用“深度优先”的原则进行匹配,即根据规则的精确度排序;

案例解析:下图的PC、路由表已配置好,PC相互都可以通信。

例子1:在R2配置基本ACL,使得PC1访问不了172.16.10.0的网络。

  1. acl 2000:进入R2,进入一个编号2000的acl;
  2. rule deny source 192.168.10.1 0:创建规则,拒接192.168.10.1这这个IP访问,0是反掩码,精确匹配,会自动生成序号5;
  3. display this:查看配置;
  4. undo rule 5:删除序号为5的规则;
  5. int gi 0/0/0;进入指定端口;
  6. traffic-filter inbound acl 2000:在接口的入方向调用acl,出方向是outbound;
  7. undo traffic-filter inbound:最后测试完成后,将接口的acl配置取消;

例子2:在R2上配置高级ACL,拒绝PC1、PC2ping通PC4,但是允许其http访问PC4.

  1. acl 3000:进入编码3000的高级acl;
  2. rule deny icmp source 192.168.10.0 0.0.0.255 destination 172.16.10.2 0:自定规则,拒绝ip网络位为192.168.10的ICMP协议的数据到172.16.10.0主机上;
  3. int gi 0/0/1;
  4. traffic-filter outbound acl 3000:在接口的出方向调用acl3000;

下面使用http请求,可以看到返回状态码是200,表示访问成功。

 

 

例子3:拒接PC1telnet访问PC4.

  1. acl 3000;
  2. rule deny tcp source 192.168.10.1 0 destination 172.16.10.2 0 destination-port eq telnet :拒绝192.168.10.1的telnet访问172.16.10.2主机

转载至:https://www.csdn.net/tags/MtjaQg2sODExOTctYmxvZwO0O0OO0O0O.html

  • 1
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值