ACL配置

发表于 | 分类于 | |

配置命令

图表

命令 备注
acl number 2000 创建一个基本ACL
rule 5 permit/deny source 192.168.1.0 0.0.0.255 配置ACL的规则:
允许或者拒绝192.168.1.0这个网段内的所有流量
acl number 3000 创建一个高级ACL
rule 5 permit/deny tcp
source192.168.1.0 0.0.0.255
destination 8.8.8.8 0
destination-port eq 80		 配置ACL规则:
允许后者禁止192.168.1.0网段的地址
到8.8.8.8这个地址的HTTP流量
traffic-filter inbound/outbound acl 2000 接口调用ACL过滤流量
dis acl 2000 验证ACL的配置
dis traffic-filter applied-record 查看设备上所有基于ACL的调用情况

基本ACL配置

实验目的

  1. 配置ACL,使得PC1所在192.168.1.0段地址无法访问外网
  2. 在PC1地址的出口方向进行限制

拓扑

alt ACL基本配置拓扑

命令

1
2
3
4
5
6
7
<R1>sys
Enter system view, return user view with Ctrl+Z.
[R1]acl number 2000
[R1-acl-basic-2000]rule 0 deny sour	
[R1-acl-basic-2000]rule 0 deny source 192.168.1.1 0.0.0.255
[R1-acl-basic-2000]int g0/0/1
[R1-GigabitEthernet0/0/1]traffic-filter outbound acl 2000

验证

  1. 未应用ACL,能出外网

    alt ACL基本配置出外网

  2. 不能出外网

    alt ACL基本配置不出外网

高级ACL配置

实验目的

  1. PC1不能访问FTP服务器,但可以访问私有服务器
  2. PC2不能访问私有服务器,但是可以访问FTP服务器

拓扑

alt ACL高级配置拓扑

命令

1
2
3
4
5
6
7
<R1>sys
Enter system view, return user view with Ctrl+Z.
[R1]acl name DenyAccessServer
[R1-acl-adv-DenyAccessServer]rule 0 deny tcp source 192.168.1.0 0.0.0.255 destin
ation-port eq 21
[R1-acl-adv-DenyAccessServer]rule 1 deny tcp source 192.168.2.0 0.0.0.255 destin
ation 172.16.10.3 0.0.0.0

ACL接口调用方向的建议

  1. 基本ACL尽量调用在离目标最近的出站接口

  2. 高级ACL尽量调用在离源头最近的入站接口

  3. 图示

    alt ACL接口调用方向建议

吴超 wechat
subscribe to my blog by scanning my public wechat account