外来人员|文中_基本ACL和高级ACL

篇首语：本文由编程笔记#小编为大家整理，主要介绍了基本ACL和高级ACL相关的知识，希望对你有一定的参考价值。

• ACL的分类

一、基本ACL的配置

基本ACL的命令格式

rule [rule-id] permit|deny [source source-address source-wildcard|any |fragment |logging | time-range time-name]


对命令中各个组成项的解释如下
&＃xff08;1&＃xff09;rule :表示这是一个规则
&＃xff08;2&＃xff09;rule-id &＃xff1a;表示这条规则的编号
&＃xff08;3&＃xff09;permit|deny &＃xff1a;是一个“二选一”选项&＃xff0c;表示与这条规则相关联的处理动作。deny命令表示“拒绝”&＃xff1b;permit表示“允许”。
&＃xff08;4&＃xff09;source &＃xff1a;表示源IP地址信息
&＃xff08;5&＃xff09;source-address &＃xff1a;表示具体的源IP地址。
&＃xff08;6&＃xff09;source-wildcard &＃xff1a;表示与source-address 相对应的通配符。source-wildcard和source-address结合使用&＃xff0c;可以确定一个IP地址的集合。特殊情况下&＃xff0c;该集合中可以包含一个IP地址。
&＃xff08;7&＃xff09;any&＃xff1a;表示源IP地址可以是任意地址
&＃xff08;8&＃xff09;fragment &＃xff1a;表示该规则只对非首片分片报文有效。
&＃xff08;9&＃xff09;logging &＃xff1a;表示需要对匹配该规则的IP报文进行日志记录。
&＃xff08;10&＃xff09;time-ranr time-name &＃xff1a; 表示该规则的生效时间段为time-name

实验案例

拓扑图

要求&＃xff1a;外来人员办公区无法接收到财务部办公区的报文。

&＃xff08;1&＃xff09;主机和路由器基本配置&＃xff0c;实现全网通

• 外来人员办公区的主机
  

• 财务部办公区的主机
  

• 项目部办公区
  

• 路由器的接口配置IP地址

system-view
Enter system view, return user view with Ctrl&＃43;Z.
[Huawei]sysname R1
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.3.1 24
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]ip address 192.168.1.1 24
[R1-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2
[R1-GigabitEthernet0/0/2]ip address 192.168.2.1 24


测试一下连通性

&＃xff08;2&＃xff09;基本ACL配置

• 创建一个编号为2000的基本ACL

[R1]acl 2000
[R1-acl-basic-2000]rule deny source 192.168.2.1 0.0.0.0 ## 拒绝放行源IP地址为192.168.2.1的IP报文
[R1-acl-basic-2000]quit


• 使用报文过滤技术中的【traffic-filter】命令将ACL 2000应用到路由器R1的GE0/0/0接口的出方向上。

[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter outbound acl 2000
[R1-GigabitEthernet0/0/0]quit


一、高级ACL的配置

高级ACL的命令格式

rule [rule-id] permit|deny ip[destinationdestination-adress destination-wildcard |dany] [sourcesource-adress source-wildcard| any]


对命令中格式组成项的解释
&＃xff08;1&＃xff09;destnation 表示目的IP地址信息
&＃xff08;2&＃xff09;destination-address 表示具体的目的IP地址
&＃xff08;3&＃xff09;destination-wildcard 表示与destination-address相对应的通配符
&＃xff08;3&＃xff09;destination-wildcard与destination-address结合使用&＃xff0c;可以确定一个IP地址的集合。特殊情况下&＃xff0c;该集合可以包含一个IP地址。

实验案例

拓扑图

要求&＃xff1a;外来人员无法接收到来自财务部的报文
前面的基本配置和基本ACL一样

• 高级ACL的配置

[R1]acl 3000
[R1-acl-adv-3000]rule deny ip destination 192.168.2.1 0.0.0.0
[R1-acl-adv-3000]quit


[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
[R1-GigabitEthernet0/0/0]quit