1、拒绝某单个ip或网段访问某单个ip或网段或端口
1、编辑acl
acl号
acl策略
2、在端口应用
出口应用
入口应用
配置:
1、进入视图模式、创建acl号
<SR5300>system-view
Enter system view, return user view with Ctrl+Z.
[SR5300]acl 3000
2、编写acl策略
[SR5300-acl-adv-3000]rule 5 permit ip source 192.168.101.25 0 destination 192.168.5.251 0 #允许访问单个ip,acl中子网掩码需 要写反掩码
[SR5300-acl-adv-3000]rule 6 permit ip source 192.168.101.25 0 destination 192.168.6.88 0 #允许访问单个ip
[SR5300-acl-adv-3000]rule 7 permit ip source 192.168.101.25 0 destination 192.168.101.1 0 #允许访问单个ip
[SR5300-acl-adv-3000]rule 8 permit ip source 192.168.101.25 0 destination 192.168.1.254 0 #允许访问单个ip
[SR5300-acl-adv-3000]rule 10 permit tcp source 192.168.101.25 0 destination-port eq www #允许访问所有目标为80的端口
[SR5300-acl-adv-3000]rule 11 permit tcp source 192.168.101.25 0 destination-port eq 443 #允许访问所有目标为443的端口
[SR5300-acl-adv-3000]rule 80 deny ip source 192.168.101.25 0 #拒绝访问所有地址
[SR5300-acl-adv-3000]dis acl 3000 #查看acl 3000的策略,编写可直接写下面条目
Advanced ACL 3000, 7 rules #显示项!!高级的acl,高级和基本acl区别在于:基本acl只对源地址进行控制,一般编号为(2000- 2999);而高级的acl在此基础上也会对目标地址,端口、协议等进行控制,一般编号为(3000~3999)
Acl's step is 5 #显示项!!acl步长,就是条目编号之间的数之差,默认为5,目的是方便插入新的条目,如果不是5的话系统也会识 别的,最好是相隔5个数编辑一条策略,方便日后加入新的条目
3、进入接口,应用策略
[SR5300]interface GigabitEthernet 0/0/10 #进入10号口
[SR5300-GigabitEthernet0/0/10]traffic-filter inbound acl 3000 #入口方向应用acl 3000策略,出方向使用outbound
网友评论