美文网首页
华为交换机配置ACL

华为交换机配置ACL

作者: 李哈哈_2c85 | 来源:发表于2020-08-10 17:33 被阅读0次

1、拒绝某单个ip或网段访问某单个ip或网段或端口

        1、编辑acl
                acl号
                acl策略
        2、在端口应用
                出口应用
                入口应用

配置:
        1、进入视图模式、创建acl号
           <SR5300>system-view
            Enter system view, return user view with Ctrl+Z.
            [SR5300]acl 3000
        2、编写acl策略
            [SR5300-acl-adv-3000]rule 5 permit ip source 192.168.101.25 0 destination 192.168.5.251 0   #允许访问单个ip,acl中子网掩码需  要写反掩码
            [SR5300-acl-adv-3000]rule 6 permit ip source 192.168.101.25 0 destination 192.168.6.88 0    #允许访问单个ip
            [SR5300-acl-adv-3000]rule 7 permit ip source 192.168.101.25 0 destination 192.168.101.1 0   #允许访问单个ip
            [SR5300-acl-adv-3000]rule 8 permit ip source 192.168.101.25 0 destination 192.168.1.254 0   #允许访问单个ip
            [SR5300-acl-adv-3000]rule 10 permit tcp source 192.168.101.25 0 destination-port eq www     #允许访问所有目标为80的端口
            [SR5300-acl-adv-3000]rule 11 permit tcp source 192.168.101.25 0 destination-port eq 443       #允许访问所有目标为443的端口
            [SR5300-acl-adv-3000]rule 80 deny ip source 192.168.101.25 0                                                 #拒绝访问所有地址

            [SR5300-acl-adv-3000]dis acl 3000          #查看acl 3000的策略,编写可直接写下面条目
            Advanced ACL 3000, 7 rules  #显示项!!高级的acl,高级和基本acl区别在于:基本acl只对源地址进行控制,一般编号为(2000-    2999);而高级的acl在此基础上也会对目标地址,端口、协议等进行控制,一般编号为(3000~3999)
            Acl's step is 5  #显示项!!acl步长,就是条目编号之间的数之差,默认为5,目的是方便插入新的条目,如果不是5的话系统也会识  别的,最好是相隔5个数编辑一条策略,方便日后加入新的条目

        3、进入接口,应用策略
            [SR5300]interface GigabitEthernet 0/0/10   #进入10号口
            [SR5300-GigabitEthernet0/0/10]traffic-filter inbound acl 3000   #入口方向应用acl 3000策略,出方向使用outbound

相关文章

网友评论

      本文标题:华为交换机配置ACL

      本文链接:https://www.haomeiwen.com/subject/fgbjdktx.html