基本ACL和高级ACL

Posted 月亮归我了

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了基本ACL和高级ACL相关的知识,希望对你有一定的参考价值。

  • ACL的分类
ACL的类型编号范围规则制定的主要依据
基本ACL2000~2999报文的源IP地址等信息
高级ACL3000~3999报文的源IP地址、目的IP地址、报文优先级、IP承载的协议类型及特性等三、四层信息
二层ACL4000~4999报文的源MAC地址、目的MAC地址、IEEE802.1p优先级、数据链路层协议类型等二层信息
用户自定义ACL5000~5999用户自定义报文的偏移位置和偏移量、从报文中提取出的相关内容等信息

一、基本ACL的配置

基本ACL的命令格式

rule [rule-id] permit|deny [source source-address source-wildcard|any |fragment |logging | time-range time-name]

对命令中各个组成项的解释如下
(1)rule :表示这是一个规则
(2)rule-id :表示这条规则的编号
(3)permit|deny :是一个“二选一”选项,表示与这条规则相关联的处理动作。deny命令表示“拒绝”;permit表示“允许”。
(4)source :表示源IP地址信息
(5)source-address :表示具体的源IP地址。
(6)source-wildcard :表示与source-address 相对应的通配符。source-wildcard和source-address结合使用,可以确定一个IP地址的集合。特殊情况下,该集合中可以包含一个IP地址。
(7)any:表示源IP地址可以是任意地址
(8)fragment :表示该规则只对非首片分片报文有效。
(9)logging :表示需要对匹配该规则的IP报文进行日志记录。
(10)time-ranr time-name : 表示该规则的生效时间段为time-name

实验案例

拓扑图

要求:外来人员办公区无法接收到财务部办公区的报文。

(1)主机和路由器基本配置,实现全网通

  • 外来人员办公区的主机

  • 财务部办公区的主机

  • 项目部办公区

  • 路由器的接口配置IP地址

<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname R1
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.3.1 24
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]ip address 192.168.1.1 24
[R1-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2
[R1-GigabitEthernet0/0/2]ip address 192.168.2.1 24

测试一下连通性

(2)基本ACL配置

  • 创建一个编号为2000的基本ACL
[R1]acl 2000
[R1-acl-basic-2000]rule deny source 192.168.2.1 0.0.0.0    ## 拒绝放行源IP地址为192.168.2.1的IP报文
[R1-acl-basic-2000]quit
  • 使用报文过滤技术中的【traffic-filter】命令将ACL 2000应用到路由器R1的GE0/0/0接口的出方向上。
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter outbound acl 2000
[R1-GigabitEthernet0/0/0]quit

一、高级ACL的配置

高级ACL的命令格式

rule [rule-id] permit|deny ip[destinationdestination-adress destination-wildcard |dany] [sourcesource-adress source-wildcard| any]

对命令中格式组成项的解释
(1)destnation 表示目的IP地址信息
(2)destination-address 表示具体的目的IP地址
(3)destination-wildcard 表示与destination-address相对应的通配符
(3)destination-wildcard与destination-address结合使用,可以确定一个IP地址的集合。特殊情况下,该集合可以包含一个IP地址。

实验案例

拓扑图

要求:外来人员无法接收到来自财务部的报文
前面的基本配置和基本ACL一样

  • 高级ACL的配置
[R1]acl 3000
[R1-acl-adv-3000]rule deny ip destination 192.168.2.1 0.0.0.0
[R1-acl-adv-3000]quit
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
[R1-GigabitEthernet0/0/0]quit

以上是关于基本ACL和高级ACL的主要内容,如果未能解决你的问题,请参考以下文章

基本ACL和高级ACL

基本ACL和高级ACL工作原理

基本ACL与高级ACL

ACL的工作原理

ACL的工作原理

笔记 基本ACL 高级ACL