ACL扩展应用
访问控制列表(ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。
扩展IP访问控制列表是其中重要的一种
扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项,包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100到199的访问控制列表是扩展IP访问控制列表。
扩展访问列表的格式:access-list ACL号 [permit|deny][协议] [定义过滤源主机范围] [定义过滤源端口] [定义过滤目的主机访问] [定义过滤目的端口]
华为交换机高级 ACL配置命令:
[HUAWEI-5700]acl 3000 进入高级ACL配置列表 [HUAWEI-5700-acl-adv-3000]rule 5 deny tcp source 192.168.10.0 0.0.0.255 destination 10.10.100.100 0 destination-port eq 80 拒绝来自 192.168.10.0 此网段内所有主机访问 10.10.100.100 此服务器的TCP 80端口的流量 http协议默认为80端口 [HUAWEI-5700-acl-adv-3000]rule 10 deny tcp source 192.168.20.0 0.0.0.255 destination 10.10.200.200 0 destination-port eq 21 拒绝来自192.168.20.0 此网段内所有主机访问 10.10.200.200 此服务器的TCP 21端口的流量 Ftp协议默认为21端口 [HUAWEI-5700-acl-adv-3000]rule 15 deny udp source 192.168.30.0 0.0.0.255 destination 172.16.10.100 0 destination-port eq 53 拒绝来自192.168.30.0 此网段内所有主机访问 172.16.10.100 此服务器的UDP 53端口的流量 DNS协议默认为53端口 [HUAWEI-5700-acl-adv-3000]rule 20 permit tcp source 192.168.40.0 0.0.0.255 destination 61.10.10.10 0 destination-port eq 110 允许来自192.168.40.0 此网段内所有主机访问 61.10.10.10 此服务器的TCP 110端口的流量 POP3协议默认为110端口 [HUAWEI-5700-acl-adv-3000]rule 25 permit tcp source 192.168.50.0 0.0.0.255 destination 61.11.11.11 0 destination-port eq 23 允许来自192.168.50.0 此网段内所有主机访问 61.11.11.11 此服务器的TCP 23端口的流量 telnet协议默认为23端口 [HUAWEI-5700-acl-adv-3000]rule 30 permit tcp source 192.168.60.0 0.0.0.255 destination 66.11.11.10 0 destination-port eq 25 允许来自192.168.60.0 此网段内所有主机访问 66.11.11.10 此服务器的TCP 25端口的流量 smtp协议默认为23端口 [HUAWEI-5700-acl-adv-3000]rule 35 deny udp source 10.10.50.5 0.0.0.0 destination 172.16.20.100 0.0.0.0 destination-port eq 161 拒绝10.10.50.5此主机访问 172.16.20.100 此终端的UDP 161端口的流量 snmp协议默认为161端口 查看acl配置列表: [HUAWEI-5700-acl-adv-3000]display this # acl number 3000 rule 5 deny tcp source 192.168.10.0 0.0.0.255 destination 10.10.100.100 0 destination-port eq www rule 10 deny tcp source 192.168.20.0 0.0.0.255 destination 10.10.200.200 0 destination-port eq ftp rule 15 deny udp source 192.168.30.0 0.0.0.255 destination 172.16.10.100 0 destination-port eq dns rule 20 permit tcp source 192.168.40.0 0.0.0.255 destination 61.10.10.10 0 destination-port eq pop3 rule 25 permit tcp source 192.168.50.0 0.0.0.255 destination 61.11.11.11 0 destination-port eq telnet rule 30 permit tcp source 192.168.60.0 0.0.0.255 destination 66.11.11.10 0 destination-port eq smtp rule 35 deny udp source 10.10.50.5 0 destination 172.16.20.100 0 destination-port eq snmp
华为交换机端口调用ACL配置命令:
[HUAWEI-5700]interface GigabitEthernet 0/0/1 进入需要调用ACL的交换机端口 [HUAWEI-5700-GigabitEthernet0/0/1]traffic-filter outbound acl 3000 在些端口的出方向调用ACL3000 [HUAWEI-5700-GigabitEthernet0/0/1]traffic-filter inbound acl 3000 在此端口的入方向调用ACL3000
注:每个端口的一个方向上只能调用一个ACL列表,也就是outbound 和 inbound 两个方向上有且只能有一个ACL
请立即点击咨询我们或拨打咨询热线: 17804441181,我们会详细为你一一解答你心中的疑难。项目经理在线