ACL(access control list):訪問控制列表
基本ACL(2000~2999):只能匹配源IP
高級ACL(3000~3999):可以匹配源IP,目標IP,源端口,目標端口,網絡協議等
網絡拓撲圖如下:【先打通1.1.1.0~8.8.8.0網絡之間互通,配置ACL之前先保證兩個網段之間互通,交換機不配置直接當傻瓜交換機使】
基本ACL舉例:拒絕Client 1訪問8.8.8.X網段
[R2]acl 2000 #創建ACL 2000 [R2-acl-basic-2000]rule deny source 1.1.1.1 0.0.0.0 #拒絕1.1.1.1這個IP訪問,如果反掩碼使用0.0.0.255代表拒絕1.1.1.X這個網段 [R2-acl-basic-2000]quit #退出 [R2]interface GigabitEthernet 0/0/0 #進入g0/0/0接口 [R2-GigabitEthernet0/0/0]traffic-filter inbound acl 2000 #在接口下調用ACL規則,拒絕進方向源IP為1.1.1.1數據包通過
也可在R1上配置ACL實現相同功能
[R1]acl 2000 #創建ACL 2000
[R1-acl-basic-2000]rule deny source 1.1.1.1 0.0.0.0 #創建規則拒絕源IP為1.1.1.1
[R1-acl-basic-2000]quit #退出
[R1]interface GigabitEthernet 0/0/1 #進入g0/0/1
[R1-GigabitEthernet0/0/1]traffic-filter inbound acl 2000 #拒絕進方向源IP為1.1.1.1數據包通過
或者在R1的出口方向調用ACL也行
[R1]interface gig0/0/0 進入g0/0/0接口
[R1-GigabitEthernet0/0/0]traffic-filter outbound acl 2000 #出口方向調用ACL
高級ACL舉例:拒絕Client 1和PC2 ping 8.8.8.X網段,但允許其http訪問8.8.8.X網段
[R2]acl 3000 #創建高級ACL 3000 [R2-acl-adv-3000]rule deny icmp source 1.1.1.0 0.0.0.255 destination 8.8.8.0 0.0.0.255 #拒絕1.1.1.X網段通過ICMP協議ping 8.8.8.0網段 [R2-acl-adv-3000]quit #退出 [R2]interface GigabitEthernet 0/0/0 #進入g0/0/0 [R2-GigabitEthernet0/0/0]traffic-filter inbound acl 3000 #調用acl 3000
高級ACL舉例:拒絕PC 2 Telnet R2
[R2]acl 3001 #創建acl 3001 [R2-acl-adv-3001]rule deny tcp source 1.1.1.2 0.0.0.0 destination 5.5.5.2 0.0.0.0 destination-port eq telnet #拒絕源IP為1.1.1.2 Telnet 5.5.5.2 [R2-acl-adv-3001]quit #退出 [R2-GigabitEthernet0/0/0]traffic-filter inbound acl 3001 #在接口下調用ACL 3001
ACL需要注意以下事項:
- 一個接口的同一個方向,只能調用一個ACL規則
- 一個ACL中可以有多個rule規則,從上往下依次執行
- 數據包一旦被某條rule匹配,就不再繼續向下匹配
- 華為交換機的acl用來拒絕數據包時【默認是放行所有規則】