传输层与路由器的acl控制
发送数据 打包装(封装)的过程
接受数据 拆包装的过程
速度 www.baidu.com
可靠 10000 +1000
tcp建立链接标志位:
syn 打算建立连接
ack 确认
fin 打算断开连接
tcp三次握手
TCP
可靠 面向连接
效率低
UDP
不可靠 无连接
效率高
tcp:
ftp 21
http 80
smtp 25
ssh 22
https 443
dns 53
mariadb 3306
telnet 23
udp
tftp 69
dns 53
ntp 123
基本ACL概述
- 华为基本ACL
- 基于源ip地址过滤数据包
- 列表号2000-2999
- 配置基本ACL
[Huawei]acl 2000 //定义基本acl,列表号是2000
[Huawei-acl-basic-2000]rule deny source 192.168.2.1 0 //拒绝源地址是192.168.2.1的数据通过
[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 2000 //进入接口后,应用acl
实例:
1,允许2.1通过
2,拒绝所有人通过
[Huawei]acl 2000
[Huawei-acl-basic-2000]undo rule 5 //删除旧规则
[Huawei-acl-basic-2000]rule permit source 192.168.2.1 0 //创建新规则允许2.1通过
[Huawei-acl-basic-2000]rule deny source any //拒绝所有人
[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1] traffic-filter inbound acl 2000 //在接口的入方向应用规则,如果之前应用过则不用设置
高级ACL概述
- 华为高级ACL
- 基于源IP地址、目的IP地址、源端口、目的端口、协议,过滤数据包
- 列表号是3000-3999
使用高级acl满足新需求:
注意先要在g0/0/1口中删除acl 2000 命令是进入接口后输入 undo traffic-filter inbound
[Huawei]acl 3000
[Huawei-acl-adv-3000]rule deny tcp source 192.168.2.1 0 destination 192.168.1.1 0 destination-port eq 21 //拒绝2.1访问1.1的21号端口(ftp服务)
[Huawei-acl-adv-3000]rule deny tcp source 192.168.2.2 0 destination 192.168.1.1 0 destination-port eq 80 //拒绝2.2访问1.1的80号端口(http服务)
