151-5197-5087
扬州华为授权服务中心
当前位置:网站首页 > 网络设备调试 正文 网络设备调试

华为acl怎么生效_华为-ACL访问控制列表

2024-12-05 23:07:23 网络设备调试 28 ℃ 0 评论

ACL:access list 访问控制列表

acl 两种:

基本acl(2000-2999):只能匹配源ip地址。

高级acl(3000-3999):可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段。

四个注意事项:

注1:一个接口的同一个方向,只能调用一个acl

注2:一个acl里面可以有多个rule 规则,从上往下依次执行

注3:数据包一旦被某rule匹配,就不再继续向下匹配

注4: 用来做数据包访问控制时,默认隐含放过所有(华为设备)

ACL 两种作用:

① 用来对数据包做访问控制(丢弃或者放行)

② 结合其他协议,用来匹配范围

配置静态路由使全网互通:

R1:ip route-static 172.16.10.0 24 12.1.1.2

R2:ip route-s 192.168.10.0 24 12.1.1.1

需求一:在R2配置基本acl 拒绝PC1 访问172.16.10.0 网络。

R2:

acl number 2000 创建acl 2000

rule deny source 192.168.10.1 0 拒绝源地址为192.168.10.1 的流量

int gi 0/0/1

traffic-filter outbound acl 2000 接口下出方向调用acl 2000

inbound:进入方向 站在路由器的角度考虑 数据包进入路由器“肚子”里面的时候

outbound:出方向 站在路由器的角度考虑 数据包从路由器的?肚子"向外发出时

调试命令:查看acl是否生效 (matches 数量)

匹配了15个报文,拒绝了15个报文

需求二:在R2上配置高级acl 拒绝PC1所在的网段 ping server1,但是允许其HTTP 访问server1

R2:

acl 3000

rule deny icmp source 192.168.10.0 0.0.0.255 destination 172.16.10.2 0

int gi0/0/1

traffic-filter outbound acl 3000

拒绝① 源地址为192.168.10.0/24 且② 目标地址为172.16.10.2 且是③ icmp的包 (注意:三个条件①②③ 同时被满足才可以被拒绝掉)

acl 工作原理:当数据包从接口经过时,由于接口启用了acl,此时路由器会对报文进行检查,然后做出相应的处理。

需求三:在R2上配置高级acl 拒绝PC1所在网段 http 访问server1,但是允许其 ping server。

R2:

acl number 3001

rule 5 deny tcp source 192.168.10.0 0.0.0.255 destination 172.16.10.2 0 destination-port eq 80

int gi 0/0/1

traffic-filter outbound acl 3001

acl 举例:拒绝源地址192.168.10.2 telnet 访问12.0.0.2

acl 3000 rule 5 deny tcp source 192.168.10.2 0 destination 12.0.0.2 0 destination-port eq telnet

acl举例:拒绝所有的报文

acl number 3006

rule 5 deny ip

注意:acl 不能拒绝路由器自己触发产生的报文。

可选配置:只允许12.1.1.5 远程telnet

acl 2000

rule permit source 12.1.1.5 0

rule deny

user-interface vty 0 4

acl 2000 inbound

版权说明:如非注明,本站文章均为 扬州驻场服务-网络设备调试-监控维修-南京泽同信息科技有限公司 原创,转载请注明出处和附带本文链接

请在这里放置你的在线分享代码
«    2024年12月    »
1
2345678
9101112131415
16171819202122
23242526272829
3031
控制面板
您好,欢迎到访网站!
  查看权限
网站分类
搜索
最新留言
    文章归档
    网站收藏
    友情链接