三层交换机
配置虚拟接口的ip
传输层
使用tcp协议传输数据的常见服务
可靠 效率低 面向连接
使用udp传输数据的常见服务
不可靠 效率高 无连接
acl访问控制列表
基本acl : 列表号 2000~2999 根据数据源ip地址进行控制
高级acl : 列表号 3000~3999 根据数据源ip、目标ip、协议端口进行控制
deny:拒绝
permit:允许
禁止2.1与1.1进行数据通信,不能影响其他主机的通信
[Huawei]acl 2000 //创建acl 列表号是2000
[Huawei-acl-basic-2000]rule deny source 192.168.2.1 0.0.0.0
//创建规则拒绝源地址是192.168.2.1的数据通过
[Huawei-acl-basic-2000]in g0/0/1 //进入1口
[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 2000
//定义过滤数据是入方向,并应用之前创建的acl2000
删除规则
[Huawei-acl-basic-2000]display this //查看当前视图配置,
可以看到规则号码
[Huawei-acl-basic-2000]undo rule 5 //如果规则写错,可以根
据规则号码删除
允许2.1与1.1进行通信,禁止其他设备访问1.1
[Huawei-GigabitEthernet0/0/1]acl 2001 //创建新acl,列表号
是2001
[Huawei-acl-basic-2001]rule permit source 192.168.2.1 0 //创建
规则,允许2.1通过
[Huawei-acl-basic-2001]rule deny source any //拒绝所有设备通过
[Huawei-acl-basic-2001]in g0/0/1 //进入应用acl的接口
[Huawei-GigabitEthernet0/0/1]undo traffic-filter inbound //在接
口取消之前的acl2000
[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 2001 //应
用新的acl
acl高级使用
禁止2.2访问1.1的网站服务,但不影响其他服务
[Huawei]acl 3000 //创建(进入)acl3000
[Huawei-acl-adv-3000]rule deny tcp source 192.168.2.2 0 destination
192.168.1.1 0 destination-port eq 80 //拒绝2.2访问1.1的tcp的80
端口
[Huawei-acl-adv-3000]in g0/0/1 //进入距离2.2比较近的接口
[Huawei-GigabitEthernet0/0/1]undo traffic-filter inbound //删除原有acl
[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 3000 //重新在
接口应用acl3000
禁止2.1访问1.1的ftp服务,但不影响其他服务
[Huawei]acl 3000 //创建(进入)acl3000
[Huawei-acl-adv-3000]rule deny tcp source 192.168.2.1 0 destination
192.168.1.1 0 destination-port eq 21 //拒绝2.1访问1.1的tcp
的21端口
使用acl时,同接口的同方向只能一次应用一个acl列表