16.高级ACL

文章发布时间:

最后更新时间:

页面浏览: 加载中...

基础ACL:匹配信息(源 IP 地址)
高级ACL:匹配信息(五元组:源 IP、目的 IP、源端口、目的端口、协议号)控制更加灵活

基础ACL的不足:

  1. 只能针对源 IP 地址进行过滤,当源设备和目的设备的地址不一,且数量多的时候无法使用基础 ACL 进行控制
  2. 无法针对协议进行过滤(如:UDP、TCP、OSPF 等协议)

高级 ACL 配置

  1. 创建 ACL
    1
    acl 3000  							// 创建 ACL(3000—3999 为高级 ACL)
  2. 命名规则 
    1
    2
    3
    4
    5
    6
    7
    8
    rule 5 deny ip source 192.168.1.1 0 destination 172.16.1.200 0
    // 代表过滤的是 IP 流量,并且必须同时满足源地址为 192.168.1.1 和目的地址为 172.16.1.200 才会被过滤

    rule 10 deny udp source 192.168.1.2 0 destination 172.16.1.200 0
    // 代表过滤的流量为 UDP 流量,并且同时满足源 IP 地址为:192.168.1.2 0 目的地址为 172.16.1.200 才会被过滤

    rule 15 deny icmp source 1.1.1.1 0 destination 2.2.2.2 0
    // 代表过滤的为 ICMP 协议流量,不允许源为 1.1.1.1 且目的为 2.2.2.2 的 ICMP 流量通过
  3. 调用
    1
    2
    interface G0/0/X(需要判断接口的方向)
    traffic-filter  inbound 或 outbound acl 3000
  • 补充:高级 ACL 也能结合时间使用
    1
    2
    time-range A 09:00 to 18:00 working-day
    // 例如:添加时间 A 为工作日 9点到下午6点生效
  • 补充到 ACL 中
    1
    2
    rule 15 deny icmp source 1.1.1.1 0 destination 2.2.2.2 0  time-range A
    // 可以使得命令在有时间段中生效

display this 可以查看 time-range A 的配置(系统配置视图)
display acl all 可以查看 ACL 规则是否在生效时间段内