访问控制列表(ACL)是一种用于包过滤的技术,用于根据预设条件决定数据包是否可以通过接口。基本ACL应靠近目的点应用,高级ACL靠近源。每个接口同一方向只能应用一个ACL,规则按ID顺序执行,一旦匹配则停止后续匹配。默认情况下,华为设备隐含放过所有数据包。配置示例展示了如何创建和应用ACL来拒绝或允许特定流量。
1.ACL的概念
访问控制列表 (ACL)是一种基于包过滤的 访问控制技术 ,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。.
2.ACL的应用规则
ACL的应用原则: ACL的应用原则:
基本ACL。尽量用在靠近目的点 基本ACL.尽量用在靠近目的点
高级ACL,尽量用在靠近源的地方(可以保护带宽和其他资源) 高级acl,尽量用在靠近源的地方(可以保护带宽和其他资源)
应用规则 应用规则
一个接口的同-一个方向,只能调用-一个ACL 1、一个接口的同-一个方向,只能调用-一个ACL
一个ACL里面可以有多个rule规则, 按照规则ID从小到大排序,从上 2、一个acl里面可以有多个规则规则,按照规则ID从小到大排序,从上下依次执行 下依次执行
数据包一旦被某rule匹配,就不再继续向下匹配 3、数据包一旦被某规则匹配,就不再继续向下匹配
用来做数据包访问控制时,默认隐含放过所有(华为设备) 4、用来做数据包访问控制时,默认隐含放过所有(华为设备)
3.ACL基本命令
Huawei] acl number
2000 ###创建acl 2000
[Huawei-acl-basic-2000] rule 5 deny source 192. 168.1.10
###拒绝源地址为192.168.1.1的流量,0代表仅此一台,
5是这条规则的序号(可不加)
[Huawei] interface GigabitEthernet 0/0/ 1
[Huawei -Giqabi tEthernet0/0/1] ip address 192.168.2.254 24
[Huawei-Giqabi tEthernet0/0/1]traffic-filter outbound acl 2000
4.实验配置
[huawei] acl number 2000
[huawei-acl-basic-2000] rule 5 deny source 192.168.1.1 0
[huawei-GigabitEthernet0/0/2]traffic-filter outboind acl 2000 [Huawei] acl nmuber 3000
[Huawei-acl-adv-3000] rule deny icmp source 192.168.1.0 0.0.0.255 destination 192.168.3.1 0
[Huawei-acl-adv-3000] rule permit tcp source 192.168.1.3 0 destination 192.168.3.1 0 destination-port eq 80
[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
[Huawei-GigabitEthernet0/0/1] undo traffic-filter inbound
[Huawei-acl-adv-3000]dis this
[Huawei-acl-adv-3000] undo rule 5
[Huawei] undo acl number 3000
[Huawei-GigabitEthernet0/0/1] undo traffic-filter inbound
扫一扫
634
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
