本文介绍了标准ACL和扩展ACL的区别,标准ACL关注源IP,配置示例如拒绝192.168.1.2,允许192.168.2.0/24;扩展ACL则更精确,如拒绝192.168.1.2到192.168.3.0的通信。配置时注意调用位置以减少误杀。
一、分类:
标准----仅关注数据包中的源IP地址
扩展----关注数据包中的源/目标IP,协议号或目标端口号
二、配置标准ACL
由于标准ACL仅关注数据包中的源IP,故 调用时要尽量靠近目标,避免对其他地址的访问被误杀
2000-2999 标准acl的编号范围 3000-3999 扩展acl的范围
注意:一个编码就是一张规则,一张规则可以容纳大量的具体规则
[R2]acl 2000 创建标准acl 2000
[R2-acl-basic-2000]rule deny source 192.168.1.2 0.0.0.0 规定 拒绝 源 192.168.1.2 在匹配地址时,需要使用通配符
Acl的通配符与ospf的反掩码规则相同,唯一区别在于通配符可以进行0 1 穿插。
[R2-acl-basic-2000]rule permit source 192.168.2.0 0.0.0.255
规定 允许 源 192.168.2.0 这个网段通过
[R2-acl-basic-2000]rule deny source any 规定 拒绝所有
[R2-acl-basic-2000]display acl 2000 查看acl2000
[R2-acl-basic-2000]rule 7 deny source 192.168.2.1 0.0.0.0 规定该规则步调为7 拒绝 源192.168.2.1
[R2]interface g 0/0/0 进入需要调用规则的接口
[R2-GigabitEthernet0/0/0]traffic-filter inbound acl 2000 在相应接口的出方向上调用acl2000
三、配置扩展ACL
由于扩展ACL对流量进行了精确匹配,故 可以表面误杀,因此,调用时,尽量靠近源
[R1]acl 3000创建 扩展 ACL 编号为3000
[R1-acl-adv-3000]rule deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0
规定 拒绝 源 192.168.1.2 向目标 192.168.3.0 的一切IP行为
353
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
