2.高级ACL高级ACL能够针对IP报文的源IP地址、目的IP地址、协议类型、TCP源或目的端口、UDP源或目的端口等元素进行流量匹配 。因此它的功能相较基础ACL要更丰富一些 。
如果在交换机上使用数字命名的方式创建一个高级ACL , 那么数字的范围为3000~3999 。
ACL 的配置1.创建基本ACL使用数字命名的方式创建一个基本ACL , 并进入ACL视图:
[Huawei] acl acl-number # 编号范围( 2000 ~ 2999 )在基本ACL中 , 创建一个rule的典型命令如下:
[Huawei-acl-basic-num]
[Huawei-acl-basic-num] rule [ rule-id ] { deny | permit } [ source { source-address source-wildcard | any }]如果不指定规则ID , 则增加一个新规则时设备自动会为这个规则分配一个ID , ID按照大小排序 。在上面的配置中 , wildcard通配符掩码的概念 , 其实我们在OSPF的配置中已经介绍过了 , 此处不再赘述 。
2.创建高级ACL使用数字命名的方式创建一个高级ACL , 并进入ACL视图:
[Huawei] acl acl-number # 编号范围( 3000 ~ 3999 )在高级ACL中 , 创建一个rule的典型命令如下 。高级ACL可以用于匹配多种协议类型 , 例如OSPF、ICMP、TCP、UDP、IP等等 , 此处以IP为例:
[Huawei-acl-adv-num]
[Huawei-acl-adv-num] rule [ rule-id ] { deny | permit } ip [ destination { destination-address destination-wildcard |any } | source { source-address source-wildcard | any } ]ACL 配置实例(路由器)1.基本ACL配置示例
GW的配置如下:
[GW] acl 20002.高级ACL配置示例1
[GW-acl-basic-2000] rule deny source 192.168.1.2 0 #禁止以192.168.1.2为源地址的流量
#上面的命令 , 等同于 rule deny source 192.168.1.2 0.0.0.0
[GW-acl-basic-2000] rule permit source any #放行其他所有流量
[GW] interface GigabitEthernet0/0/1
[GW-GigabitEthernet0/0/1] traffic-filter inbound acl 2000 #将ACL2000关联到流量过滤器并应用在GE0/0/1接口的入方向
GW的配置如下:
[GW] acl 30003.高级ACL配置示例2
[GW-acl-adv-3000] rule deny ip source 192.168.1.2 0 destination 10.0.0.2 0
[GW-acl-adv-3000] rule permit ip#放行其他所有IP流量
[GW] interface GigabitEthernet0/0/1
[GW-GigabitEthernet0/0/1] traffic-filter inbound acl 3000
GW的配置如下:
[GW] acl 3000ACL 配置示例(交换机)
[GW-acl-adv-3000] rule deny tcp source 192.168.1.2 0 destination 10.0.0.2 0 destination-port eq 23
[GW-acl-adv-3000] rule permit ip
[GW] interface GigabitEthernet0/0/1
[GW-GigabitEthernet0/0/1] traffic-filter inbound acl 3000
推荐阅读
- 确保云安全的最佳实践
- oppo报价大全最新5G 浏览更多oppo
- 分期买手机的软件大全 低价买手机的app
- 2021年双十一三星手机哪款最值得购买 三星手机新款价格大全s21
- 在坚果上面用九宫格的后果
- 华为mate2 属于全球通还是属于动感地带还是属于神州行
- 我这个手机是金立w909,但是现在外屏全都是一条一条的条纹,这个咋办
- 苹果6现在多少钱
- 苹果6全网通128G报价多少?
- 全自动小洗衣机推荐,全自动小洗衣机有什么牌子推荐哪一款比较好