本文详细讲解了思科和华为高级ACL(扩展ACL)的区别,展示了如何创建和应用高级ACL来阻止特定流量,如UDP 445端口访问和VLAN 10的流量控制。实例包括配置步骤、测试验证和最佳实践,涉及命令行操作和策略优化。
高级ACL
高级ACL编号范围:3000-3999
- 思科
- 标准ACL (华为的基本ACL)
- 扩展ACL(就是华为的高级ACL)
高级ACL可以根据数据包
华为高级ACL的创建
华为可以给ACL命名,但系统依然会配一个编号,所以差别不大。
| [ISP] acl 3000 | |
|---|---|
| [ISP-acl-adv-3000] rule permit icmp(各种协议) | 对icpm协议族下的数据包进行过滤 |
| [ISP-acl-adv-3000] rule permit icmp source 10.10.10.0 0.0.0.255 destination 20.20.20.0 0.0.0.255 | 允许 10.10.10.0 24 ping 20.20.20.0 24 |
| [ISP-acl-adv-3000]rule 5 deny ip(Any ip protocol) | 通过禁止源目地址 |
| [ISP-acl-adv-3000]rule 5 deny ip source 10.10.10.0 0.0.0.255 destination 10.20.20.0 0.0.0.255 | 阻止全部协议的通信 |
| [ISP-acl-adv-3000] rule permit tcp source 10.10.10.0 0.0.0.255 desination 162.16.33.11 0 eq destination-port 80 | http流量的端口号为80 htpps : 443 |
| 拒绝来源特定网络通过端口号20、21访问172.16.33.11 | |
| rule deny tcp source 10.10.10.0 0.0.0.255 destination 172.16.33.11 0 destination-port range 20 21 | ftp-data 20 ftp 21 |
| 法不禁止就可行,华为的高级ACL也同样拥有隐式语句,默认放行。 | |
Tip : 当不记得命令时,利用好 ?提示符
ACL匹配原则:从上到下,一有匹配直接发送。
ACL自动匹配原则(深度匹配):
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
