ACL(访问控制列表)

ACL,Access Control List,访问控制列表,流量工程技术

ACL编号(华为)

基本ACL(Basic),只能匹配源地址信息:2000~2999

高级ACL(Advanced),可以匹配源目的IP、端口及协议:3000~3999

二层ACL(L2),用于二层技术:4000~4999

自定义ACL(Name),属于扩展功能:5000~5999

ACL的规则结构
  • 条件

安全套接字(sip、dip、sport、dport、protocol)

  • 动作

deny(拒绝)、permit(允许)

路由器收到数据包的执行顺序:收包→执行入接口(ACL)→匹配路由表→执行出接口(ACL)→转发

ACL的匹配原则

根据Rule-ID进行顺序匹配,若成功,则不再对剩余的规则进行匹配;如果所有的规则都未匹配成功则视为允许通过;

①自上而下优先匹配;

②末尾隐含拒绝;

基本ACL(实验)

要求:1、PC1可以和PC2、PC3通信;

           2、使用ACL,让PC2不可以和PC1通信,PC可以和PC1通信;

AR1:

[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 192.168.12.1 24
[Huawei]rip 1
[Huawei-rip-1]net 192.168.12.0
[Huawei-rip-1]net 192.168.1.0
[Huawei]acl 2000
[Huawei-acl-basic-2000]rule deny source 192.168.2.2 0
[Huawei-acl-basic-2000]int g0/0/1
[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 2000

AR2:

[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.2.254 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 192.168.12.2 24
[Huawei-GigabitEthernet0/0/1]q
[Huawei]rip 1 
[Huawei-rip-1]net 192.168.12.0
[Huawei-rip-1]net 192.168.2.0

 运行结果:

PC2和PC1可以通信。

PC3和PC1不能通信

 高级ACL(实验)

Server1:

启动服务器,导入文件(随便一个文件夹);

Client1:

AR1:

[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 192.168.12.1 24
[Huawei]rip 1
[Huawei-rip-1]net 192.168.12.0
[Huawei-rip-1]net 192.168.1.0
[Huawei-GigabitEthernet0/0/1]acl 3000
[Huawei-acl-adv-3000]rule deny tcp destination-port eq 80 source 192.168.2.2 0 destination 192.168.1.1 0
[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 3000

AR2:

[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.2.254 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 192.168.12.2 24
[Huawei-GigabitEthernet0/0/1]q
[Huawei]rip 1 
[Huawei-rip-1]net 192.168.12.0
[Huawei-rip-1]net 192.168.2.0

运行结果:

可以ping成功,

获取Http服务失败;

如果ping失败,获取http服务成功;

首先进入:acl 3000
查询:dis th
删除:undo rule (查询到的数字)
[Huawei-acl-adv-3000]rule deny icmp source 192.168.2.2 0 destination 192.168.1.1 0 

例如:

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

@荏苒

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值