基础ACL:匹配信息(源 IP 地址)
高级ACL:匹配信息(五元组:源 IP、目的 IP、源端口、目的端口、协议号)控制更加灵活
基础ACL的不足:
- 只能针对源 IP 地址进行过滤,当源设备和目的设备的地址不一,且数量多的时候无法使用基础 ACL 进行控制
- 无法针对协议进行过滤(如:UDP、TCP、OSPF 等协议)
高级 ACL 配置
- 创建 ACL
1
| acl 3000 // 创建 ACL(3000—3999 为高级 ACL)
|
- 命名规则
1
2
3
4
5
6
7
8
| rule 5 deny ip source 192.168.1.1 0 destination 172.16.1.200 0
// 代表过滤的是 IP 流量,并且必须同时满足源地址为 192.168.1.1 和目的地址为 172.16.1.200 才会被过滤
rule 10 deny udp source 192.168.1.2 0 destination 172.16.1.200 0
// 代表过滤的流量为 UDP 流量,并且同时满足源 IP 地址为:192.168.1.2 0 目的地址为 172.16.1.200 才会被过滤
rule 15 deny icmp source 1.1.1.1 0 destination 2.2.2.2 0
// 代表过滤的为 ICMP 协议流量,不允许源为 1.1.1.1 且目的为 2.2.2.2 的 ICMP 流量通过
|
- 调用
1
2
| interface G0/0/X(需要判断接口的方向)
traffic-filter inbound 或 outbound acl 3000
|
1
2
| time-range A 09:00 to 18:00 working-day
// 例如:添加时间 A 为工作日 9点到下午6点生效
|
1
2
| rule 15 deny icmp source 1.1.1.1 0 destination 2.2.2.2 0 time-range A
// 可以使得命令在有时间段中生效
|
display this 可以查看 time-range A 的配置(系统配置视图)
display acl all 可以查看 ACL 规则是否在生效时间段内