本文已参与「新人创作礼」活动,一起开启掘金创作之路。
ACL访问控制列表
ACL的分类
按照功能来分,可以分为基本ACL、高级ACL、基于接口的ACL、二层ACL、自定义的ACL、基于MPLS的ACL、基本ACL6、高级ACL6
基本ACL
基本ACL通过IP包中的源IP地址、分片标记和时间段信息对IPv4报文进行分类,从而实现过滤网络流量
通常用acl-number2000-2999来创建基本ACL
ACL的配置
创建基本ACL
[Huawei]acl number 2000
[Huawei-acl-basic-2000]
描述具体的rule-id
rule-id的默认值不是自己定义的,会有一个默认的从5开始的值,每写一条自动加5
[Huawei-acl-basic-2000]rule permit source 1.1.1.100 0
[Huawei-acl-basic-2000]rule deny source 10.1.1.0 0.0.0.255
基本ACL实验(见实验一)
高级ACL
高级ACL可以根据源IP地址、目的IP地址,以及协议或端口来控制路由器允许或拒绝数据包,高级ACL比基本ACL更加详细且精度更高
创建高级ACL,acl-number 为3000-3999
高级ACL配置举例
[R1]acl 3000
[R1-acl-adv-3000]rule permit tcp destination 12.1.1.2 0 destination-port eq 23 s
ource 172.16.1.100 0
[R1-acl-adv-3000]rule deny tcp destination 12.1.1.2 0 destination-port eq 23 sou
rce 172.16.1.200 0
[R1-acl-adv-3000]rule permit ip destination any source any
调用ACL
[R1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000
实验一
实验拓扑图
基本配置
[R1]int g 0/0/0
[R1-GigabitEthernet0/0/0]ip add 172.16.1.1 24
[R1-GigabitEthernet0/0/0]int g 0/0/1
[R1-GigabitEthernet0/0/1]ip add 12.1.1.1 24
[R2]int g 0/0/1
[R2-GigabitEthernet0/0/1]ip add 12.1.1.2 24
配置静态路由
[R2]ip route-static 172.16.1.0 24 12.1.1.1
网络联通性测试
配置基本ACL
在R1上设置ACL
[R1-acl-basic-2000]rule deny source 172.16.1.100 0
[R1-acl-basic-2000]rule permit source 172.16.1.200 0
[R1-acl-basic-2000]rule permit //放行其他流量,默认拒绝所有
检查
在R1调用ACL规则
[R1]int g 0/0/1
[R1-GigabitEthernet0/0/1]traffic-filter outbound acl 2000
