前言
之前一直接触的软件,对硬件交换机这些东西没有上手过,趁着有空暇时间,慢慢学习一下各种交换机的配置,为以后工作提前做一下准备。
ACL介绍
ACL(Access Control List,访问控制列表)通过配置匹配规则,来实现包的过滤,简单来说就是交换机的端口每次接收到报文,即可通过端口上配置的acl规则对报文进行匹配,来确认当前报文的通过与否。
ACL分类
根据ACL对数据包的不同过滤规则,可对ACL进行多种分类,参考如下列表:
基本ACL:只针对源ip制定过滤规则
高级ACL:针对源IP、目的IP、以及协议类型等三、四层信息制定规则
二层ACL:针对源MAC地址、目的MAC地址、802.1p优先级、等二层信息制定规则。
用户自定义ACL:与我们自己设立的规则进行匹配,从报文提取出来的字符串和我们自己定义的进行比较。
ACL配置
首先进行配置周期,来定时任务时间
system-view
time-range time1 9:00 to 19:00 working-day
定义初级ACL:
基本acl序号只能从2000-2999,比如配置基本 ACL 2500,阻止源 IP 地址为 192.168.1.120 的报文通过目标端口,进入系统视图后,进行如下配置:
acl number 2500
rule deny source 192.168.1.120 0
配置完可用下面命令显示acl内部具体配置
display acl 2500
定义高级acl:
可以设置源IP、目的IP、以及协议类型,序号范围为3000-3999,边缘序号不能使用,此时acl更加灵活多变,比如配置acl 3500,让130.10.0.0/16 网段的主机向 250.40.178.0/24 网段的主机发送的端口号为 80 的 TCP 报文,我们进入系统视图后,进行如下配置:
acl number 3500
rule permit tcp source
130.10.0.0 0.0.255.255 destination
250.40.178.0 0.0.0.255 destination-port eq 80
此时也可以使用display命令来显示acl内部具体配置来查看是否配置成功。
应用到端口用下面代码:
interfacce GigabitEthernet 1/0/5
packet-filter 3500
定义二层acl:
此时我们可以限制源MAC地址、目的MAC地址、802.1p优先级、等二层信息来制定规则。比如配置二层 ACL 4500,禁止从 MAC 地址 000d-99fd-69ed 发送到 MAC 地址 0122-4396-991f 且 802.1p 优先级为 2 的报文通过,首先进入系统视图:
acl number 4500
rule deny cos 2 source 000d-99fd-69ed ffff-ffff-ffff
dest 0122-4396-991f ffff-ffff-ffff
display acl 4500
结语
以上就是简单对acl规则的学习,具体详细内容后续还会出文章继续了解。
