0~1023 属于公认端口/知名端口(给一些重要的协议使用的端口)
1024~49151属于注册端口/登记端口(应用注册使用的端口)
49152~65535属于私有端口/动态端口(主机/客户端使用的端口)
华为:acl接口下调用时,默认会有一条命令permit any--只要没拒绝,就是能通的
思科/锐捷:acl接口下调用时,默认会有一条命令deny any--只要没允许就是不通的
基本acl:只能匹配数据的源IP地址(结合NAT)
1.配置基于源的ip动作拒绝还是允许
[Switch] acl 2000
[Switchacl-basic-2000]rule 5 deny source 192.168.1.100 0
2.在接口下引用留过滤
[Switch-GigabitEthernet1/0/1] traffic-filter inbound或outbound acl 2000
高级ACL:匹配五元组信息
允许 | 阻断 协议 icmp ip访问 tcp udp端口 igmp ospf
1.配置ACL
创建高级ACL 3001并配置ACL规则,拒绝任一部门访问另一部门的报文通过,这里以拒绝研发部访问市场部的报文通过为例。
[Switch] acl 3001
[Switch-acl-adv-3001] rule deny ip source 10.1.1.2 0 destinat on 10.1.1.3 0
[Switch-acl-adv-3001] quit
2.在接口下应用流策略
由于研发部访问市场部的流量从接口GE1/0/1进入Switch,所以在接口GE1/0/1的入方向应用流策略。
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] traffic-filter inbound或outbound acl 3001
[Switch-GigabitEthernet1/0/1] quit
手册搜MQC
1.配置ACL
创建高级ACL 3001并配置ACL规则,拒绝任一部门访问另一部门的报文通过,这里以拒绝研发部访问市场部的报文通过为例。
[Switch] acl 3001
[Switch-acl-adv-3001] rule deny ip source 10.1.1.2 0 destinat on 10.1.1.3 0
[Switch-acl-adv-3001] quit
2.配置基于高级ACL的流分类
配置流分类tc1,对匹配ACL 3001的报文进行分类。
[Switch] traffic classifier 3001 自定义
[Switch-classifier-tc1] if-match acl 3001
[Switch-classifier-tc1] quit
3.配置流行为
配置流行为3001,动作为拒绝报文通过。
[Switch] traffic behavior 3001 自定义
[Switch-behavior-tb1] deny
[Switch-behavior-tb1] quit
4.配置流策略 (流分类和刘行为结合就叫流策略)
定义流策略,将流分类与流行为关联。
[Switch] traffic policy 3001 自定义
[Switch-trafficpolicy-tp1] classifier 3001 behavior 3001
[Switch-trafficpolicy-tp1] quit
5.在接口下应用流策略
由于研发部访问市场部的流量从接口GE1/0/1进入Switch,所以在接口GE1/0/1的入方向应用流策略。
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] traffic-policy 3001 inbound
[Switch-GigabitEthernet1/0/1] quit
删除ACL undo acl 3001
删除规则 undo rule 5
