华为交换机高级ACL配置

ACL扩展应用

访问控制列表(ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。

扩展IP访问控制列表是其中重要的一种

扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项,包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100到199的访问控制列表是扩展IP访问控制列表。

扩展访问列表的格式:access-list ACL号 [permit|deny][协议] [定义过滤源主机范围] [定义过滤源端口] [定义过滤目的主机访问] [定义过滤目的端口]

华为交换机高级 ACL配置命令:
[HUAWEI-5700]acl 3000
进入高级ACL配置列表

[HUAWEI-5700-acl-adv-3000]rule 5 deny tcp source 192.168.10.0 0.0.0.255 destination 10.10.100.100 0 destination-port eq 80
拒绝来自 192.168.10.0 此网段内所有主机访问 10.10.100.100 此服务器的TCP 80端口的流量
http协议默认为80端口

[HUAWEI-5700-acl-adv-3000]rule 10 deny tcp source 192.168.20.0 0.0.0.255 destination 10.10.200.200 0 destination-port eq 21
拒绝来自192.168.20.0 此网段内所有主机访问 10.10.200.200 此服务器的TCP 21端口的流量
Ftp协议默认为21端口 

[HUAWEI-5700-acl-adv-3000]rule 15 deny udp source 192.168.30.0 0.0.0.255 destination 172.16.10.100 0 destination-port eq 53
拒绝来自192.168.30.0 此网段内所有主机访问 172.16.10.100 此服务器的UDP 53端口的流量
DNS协议默认为53端口 

[HUAWEI-5700-acl-adv-3000]rule 20 permit tcp source 192.168.40.0 0.0.0.255 destination 61.10.10.10 0 destination-port eq 110
允许来自192.168.40.0 此网段内所有主机访问 61.10.10.10 此服务器的TCP 110端口的流量
POP3协议默认为110端口 

[HUAWEI-5700-acl-adv-3000]rule 25 permit tcp source 192.168.50.0 0.0.0.255 destination 61.11.11.11 0 destination-port eq 23
允许来自192.168.50.0 此网段内所有主机访问 61.11.11.11 此服务器的TCP 23端口的流量
telnet协议默认为23端口

[HUAWEI-5700-acl-adv-3000]rule 30 permit tcp source 192.168.60.0 0.0.0.255 destination 66.11.11.10 0 destination-port eq 25
允许来自192.168.60.0 此网段内所有主机访问 66.11.11.10 此服务器的TCP 25端口的流量
smtp协议默认为23端口

[HUAWEI-5700-acl-adv-3000]rule 35 deny udp source 10.10.50.5 0.0.0.0 destination 172.16.20.100 0.0.0.0 destination-port eq 161
拒绝10.10.50.5此主机访问 172.16.20.100 此终端的UDP 161端口的流量
snmp协议默认为161端口

查看acl配置列表:

[HUAWEI-5700-acl-adv-3000]display this
#
acl number 3000
 rule 5 deny tcp source 192.168.10.0 0.0.0.255 destination 10.10.100.100 0 destination-port eq www
 rule 10 deny tcp source 192.168.20.0 0.0.0.255 destination 10.10.200.200 0 destination-port eq ftp
 rule 15 deny udp source 192.168.30.0 0.0.0.255 destination 172.16.10.100 0 destination-port eq dns
 rule 20 permit tcp source 192.168.40.0 0.0.0.255 destination 61.10.10.10 0 destination-port eq pop3
 rule 25 permit tcp source 192.168.50.0 0.0.0.255 destination 61.11.11.11 0 destination-port eq telnet
 rule 30 permit tcp source 192.168.60.0 0.0.0.255 destination 66.11.11.10 0 destination-port eq smtp
 rule 35 deny udp source 10.10.50.5 0 destination 172.16.20.100 0 destination-port eq snmp


华为交换机端口调用ACL配置命令:
[HUAWEI-5700]interface GigabitEthernet 0/0/1
进入需要调用ACL的交换机端口

[HUAWEI-5700-GigabitEthernet0/0/1]traffic-filter outbound acl 3000
在些端口的出方向调用ACL3000

[HUAWEI-5700-GigabitEthernet0/0/1]traffic-filter inbound acl 3000
在此端口的入方向调用ACL3000

注:每个端口的一个方向上只能调用一个ACL列表,也就是outbound 和 inbound 两个方向上有且只能有一个ACL

posted @ 2021-03-12 15:35  红尘浮光  阅读(6132)  评论(0编辑  收藏  举报