HCIA-ACL策略_自定义

0~1023 属于公认端口/知名端口(给一些重要的协议使用的端口)

1024~49151属于注册端口/登记端口(应用注册使用的端口)

49152~65535属于私有端口/动态端口(主机/客户端使用的端口)

华为:acl接口下调用时,默认会有一条命令permit any--只要没拒绝,就是能通的

思科/锐捷:acl接口下调用时,默认会有一条命令deny any--只要没允许就是不通的

基本acl:只能匹配数据的源IP地址(结合NAT)

1.配置基于源的ip动作拒绝还是允许

[Switch] acl 2000

[Switchacl-basic-2000]rule 5 deny source 192.168.1.100 0 

2.在接口下引用留过滤

[Switch-GigabitEthernet1/0/1] traffic-filter inbound或outbound  acl 2000


高级ACL:匹配五元组信息

允许 | 阻断 协议 icmp   ip访问 tcp udp端口   igmp   ospf

1.配置ACL

创建高级ACL 3001并配置ACL规则,拒绝任一部门访问另一部门的报文通过,这里以拒绝研发部访问市场部的报文通过为例。

[Switch] acl 3001

[Switch-acl-adv-3001] rule deny ip source 10.1.1.2 0 destinat on 10.1.1.3 0

[Switch-acl-adv-3001] quit

2.在接口下应用流策略

由于研发部访问市场部的流量从接口GE1/0/1进入Switch,所以在接口GE1/0/1的入方向应用流策略。

[Switch] interface gigabitethernet 1/0/1

[Switch-GigabitEthernet1/0/1] traffic-filter inbound或outbound acl 3001

[Switch-GigabitEthernet1/0/1] quit


手册搜MQC

1.配置ACL

创建高级ACL 3001并配置ACL规则,拒绝任一部门访问另一部门的报文通过,这里以拒绝研发部访问市场部的报文通过为例。

[Switch] acl 3001

[Switch-acl-adv-3001] rule deny ip source 10.1.1.2 0 destinat on 10.1.1.3 0

[Switch-acl-adv-3001] quit


2.配置基于高级ACL的流分类

配置流分类tc1,对匹配ACL 3001的报文进行分类。

[Switch] traffic classifier 3001 自定义

[Switch-classifier-tc1] if-match acl 3001

[Switch-classifier-tc1] quit


3.配置流行为

配置流行为3001,动作为拒绝报文通过。

[Switch] traffic behavior 3001 自定义

[Switch-behavior-tb1] deny

[Switch-behavior-tb1] quit


4.配置流策略 (流分类和刘行为结合就叫流策略)

定义流策略,将流分类与流行为关联。

[Switch] traffic policy 3001 自定义

[Switch-trafficpolicy-tp1] classifier 3001 behavior 3001

[Switch-trafficpolicy-tp1] quit


5.在接口下应用流策略

由于研发部访问市场部的流量从接口GE1/0/1进入Switch,所以在接口GE1/0/1的入方向应用流策略。

[Switch] interface gigabitethernet 1/0/1

[Switch-GigabitEthernet1/0/1] traffic-policy 3001 inbound

[Switch-GigabitEthernet1/0/1] quit


删除ACL undo acl 3001

删除规则 undo rule 5


HCIA-ACL策略_自定义_02