高级的ACL(3000-3999):可以匹配源IP地址、目标IP地址、源端口、目的端口、等三层四层字段;
201、实例一:禁止192.168.1.2 访问172.16.1.x 网段:
acl number 2001 配置一个编号为2001 的ACL;
rule 5 deny source 192.168.1.2 0.0.0.0 配置一个拒绝192.168.1.2 访问的规则
traffic-filter inbound acl 2001:在G0/0/1引用ACL2001
测试192.168.1.2 能否与172.16.1.0/24网段通信:
实例二:拒绝192.168.1.0 /24 ping SERVER1 ,但是允许http服务访问:
rule 5 deny icmp source 192.168.1.0 0.0.0.255 destination 172.16.1.2 0.0.0.0
拒绝源地址为192.168.1.0 网段的ICMP服务访问172.16.1.2
由于华为的设备默认全开,所以就不用配置允许http 的策略;
traffic-filter inbound acl 3000
203 、拒绝源IP地址为192.168.1.2 的PC Telnet访问路由器R1;
由于Telnet访问的时候,使用的是192.168.1.254 ,所以ACL应该配置在R1上,方向为inbound ,端口为G0/0/0;
rule 5 deny tcp source 192.168.1.0 0.0.0.255 destination 192.168.1.254 0 destin
拒绝源IP地址为192.168.1.0 网段的PCTelnet访问192.168.1.254