我们已经准备好了,你呢?

获取智能化设计施工报价

2022我们与您携手共赢,为您的企业网络安全保驾护航!

ACL扩展应用

  访问控制列表(ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。

扩展IP访问控制列表是其中重要的一种

扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项,包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100到199的访问控制列表是扩展IP访问控制列表。

扩展访问列表的格式:access-list ACL号 [permit|deny][协议] [定义过滤源主机范围] [定义过滤源端口] [定义过滤目的主机访问] [定义过滤目的端口]

华为交换机高级 ACL配置命令:
[HUAWEI-5700]acl 3000
进入高级ACL配置列表

[HUAWEI-5700-acl-adv-3000]rule 5 deny tcp source 192.168.10.0 0.0.0.255 destination 10.10.100.100 0 destination-port eq 80
拒绝来自 192.168.10.0 此网段内所有主机访问 10.10.100.100 此服务器的TCP 80端口的流量
http协议默认为80端口

[HUAWEI-5700-acl-adv-3000]rule 10 deny tcp source 192.168.20.0 0.0.0.255 destination 10.10.200.200 0 destination-port eq 21
拒绝来自192.168.20.0 此网段内所有主机访问 10.10.200.200 此服务器的TCP 21端口的流量
Ftp协议默认为21端口 

[HUAWEI-5700-acl-adv-3000]rule 15 deny udp source 192.168.30.0 0.0.0.255 destination 172.16.10.100 0 destination-port eq 53
拒绝来自192.168.30.0 此网段内所有主机访问 172.16.10.100 此服务器的UDP 53端口的流量
DNS协议默认为53端口 

[HUAWEI-5700-acl-adv-3000]rule 20 permit tcp source 192.168.40.0 0.0.0.255 destination 61.10.10.10 0 destination-port eq 110
允许来自192.168.40.0 此网段内所有主机访问 61.10.10.10 此服务器的TCP 110端口的流量
POP3协议默认为110端口 

[HUAWEI-5700-acl-adv-3000]rule 25 permit tcp source 192.168.50.0 0.0.0.255 destination 61.11.11.11 0 destination-port eq 23
允许来自192.168.50.0 此网段内所有主机访问 61.11.11.11 此服务器的TCP 23端口的流量
telnet协议默认为23端口

[HUAWEI-5700-acl-adv-3000]rule 30 permit tcp source 192.168.60.0 0.0.0.255 destination 66.11.11.10 0 destination-port eq 25
允许来自192.168.60.0 此网段内所有主机访问 66.11.11.10 此服务器的TCP 25端口的流量
smtp协议默认为23端口

[HUAWEI-5700-acl-adv-3000]rule 35 deny udp source 10.10.50.5 0.0.0.0 destination 172.16.20.100 0.0.0.0 destination-port eq 161
拒绝10.10.50.5此主机访问 172.16.20.100 此终端的UDP 161端口的流量
snmp协议默认为161端口

查看acl配置列表:

[HUAWEI-5700-acl-adv-3000]display this
#
acl number 3000
 rule 5 deny tcp source 192.168.10.0 0.0.0.255 destination 10.10.100.100 0 destination-port eq www
 rule 10 deny tcp source 192.168.20.0 0.0.0.255 destination 10.10.200.200 0 destination-port eq ftp
 rule 15 deny udp source 192.168.30.0 0.0.0.255 destination 172.16.10.100 0 destination-port eq dns
 rule 20 permit tcp source 192.168.40.0 0.0.0.255 destination 61.10.10.10 0 destination-port eq pop3
 rule 25 permit tcp source 192.168.50.0 0.0.0.255 destination 61.11.11.11 0 destination-port eq telnet
 rule 30 permit tcp source 192.168.60.0 0.0.0.255 destination 66.11.11.10 0 destination-port eq smtp
 rule 35 deny udp source 10.10.50.5 0 destination 172.16.20.100 0 destination-port eq snmp
华为交换机端口调用ACL配置命令:
[HUAWEI-5700]interface GigabitEthernet 0/0/1
进入需要调用ACL的交换机端口

[HUAWEI-5700-GigabitEthernet0/0/1]traffic-filter outbound acl 3000
在些端口的出方向调用ACL3000

[HUAWEI-5700-GigabitEthernet0/0/1]traffic-filter inbound acl 3000
在此端口的入方向调用ACL3000

注:每个端口的一个方向上只能调用一个ACL列表,也就是outbound 和 inbound 两个方向上有且只能有一个ACL


我们凭借多年的智能化设计及施工经验,坚持以“帮助中小企业实现现代化网络”为宗旨,累计为4000多家客户提供品质智能化服务,得到了客户的一致好评。如果您有综合布线、计算机网络、无线覆盖、门禁考勤、机房建设、防火墙、路由器及交换机调试等方面的需求...
请立即点击咨询我们或拨打咨询热线: 17804441181,我们会详细为你一一解答你心中的疑难。项目经理在线
相关阅读
猜您喜欢

我们已经准备好了,你呢?

获取智能化设计、施工报价

2022我们与您携手共赢,为您的企业网络安全保驾护航!

不达标就退款 高性价比施工 免费方案咨询 1对1原创设计服务 7×24小时售后支持
系统集成
客户案例
新闻资讯
了解我们
全国免费咨询
+86-512-65829193

业务咨询:+86-512-65829193 / 17804441181

节假值班:17804441181

联系地址:中国·苏州市相城区活力大厦B座

Copyright © 2010-2022 克莱维斯智能科技有限公司 版权所有    备案号:苏ICP备17022392号   统计代码

在线客服
联系方式

热线电话

17804441181

上班时间

周一到周五

公司电话

+86-512-65829193

二维码
微信
线