高级ACL
与基本ACL相比,高级ACL提供了更准确、丰富、灵活的规则定义方法。比如根据源IP地址、目的IP地址、IP协议类型、TCP源/目的端口、UDP源/目的端口号、分片信息和生效时间段等信息来定义规则,对IPv4报文进行过滤。
高级 ACL 接口调用方向的建议
高级 ACL 尽量调用在离源头最近的入站方向
需求描述:
禁止Client1访问PC3
允许Client2访问Sever1服务器80端口
拓扑图
机器 IP 网关
Client1192.168.10.1192.168.10.254
Client2192.168.20.1192.168.20.254
PC3 10.0.0.110.0.0.254
Server1 10.0.0.210.0.0.254
1、交换机 SW1 设置
<Huawei>sys
[Huawei]un in en
[Huawei]sys SW1
# 创建VLAN
[SW1]vlan batch 10 20
[SW1]int e0/0/1
[SW1-Ethernet0/0/1]p l a
[SW1-Ethernet0/0/1]p d v 10
[SW1-Ethernet0/0/1]int e0/0/2
[SW1-Ethernet0/0/2]p l a
[SW1-Ethernet0/0/2]p d v 20
[SW1-Ethernet0/0/2]int e0/0/3
[SW1-Ethernet0/0/3]p l t
[SW1-Ethernet0/0/3]p t a v 10 20
2、路由器 R1 设置
<Huawei>sys
[Huawei]
[Huawei]un in en
[Huawei]sys R1
# 单臂路由方式配置与 SW1 交换机连接口
[R1]int g0/0/0.10
[R1-GigabitEthernet0/0/0.10]dot1q ter vid 10
[R1-GigabitEthernet0/0/0.10]ip addr 192.168.10.254 24
[R1-GigabitEthernet0/0/0.10]arp bro en
[R1-GigabitEthernet0/0/0.10]int g0/0/0.20
[R1-GigabitEthernet0/0/0.20]dot1q ter vid 20
[R1-GigabitEthernet0/0/0.20]ip addr 192.168.20.254 24
[R1-GigabitEthernet0/0/0.20]arp bro en
[R1-GigabitEthernet0/0/0.20]quit
# 配置与 SW2 交换机连接口IP
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]
[R1-GigabitEthernet0/0/1]ip addr 10.0.0.254 24
3、路由器设置 高级ACL
# 创建 ACL 3000
[R1]acl 3000
# 禁止来源地址 192.168.10.0 网段访问 10.0.0.1(IP协议)
[R1-acl-adv-3000]rule 5 deny ip source 192.168.10.0 0.0.0.255 destination 10.0.0.1 0
# 禁止来源地址 192.168.20.0 网段访问 10.0.0.2 服务器80端口 (TCP协议)
[R1-acl-adv-3000]rule 10 deny tcp source 192.168.20.0 0.0.0.255 destination 10.0.0.2 0.0.0.0 destination-port eq 80
# 允许其它IP访问
[R1-acl-adv-3000]rule 15 permit ip source any
# g0/0/0 入站方向 绑定 acl
[R1-acl-adv-3000]int g0/0/0
[R1-GigabitEthernet0/0/0]
[R1-GigabitEthernet0/0/0]traffic-filt inbound acl 3000
4、测试
(1)Client1 无法访问 PC3
(2)Client2 无法访问 Server1服务器 HTTP 80端口
请立即点击咨询我们或拨打咨询热线: 17804441181,我们会详细为你一一解答你心中的疑难。项目经理在线
客服1 