关于ACL配置(华为)
acl number 2003
rule deny tcp source 192.168.0.2 0.0.0.0 destination 192.168.2.1 0.0.0.255 destination-port eq ftp
rule permit ip source 192.168.0.2 0.0.0.0 destination 192.168.2.0 0.0.0.255
另外里面的eq和destination-port什么意思
eq的解释还是有点不懂,还有请把上面的语句的意思也说下啊
ACL匹配:
缺省情况下,系统按照ACL规则编号从小到大的顺序进行报文匹配,规则编号越小越容易被匹配。
报文与ACL规则匹配后,会产生两种匹配结果:“匹配”和“不匹配”。
匹配(命中规则):指存在ACL,且在ACL中查找到了符合匹配条件的规则。不论匹配的动作是“permit”还是“deny”,都称为“匹配”,而不是只是匹配上permit规则才算“匹配”。
匹配上permit:允许
匹配上deny:拒绝
无论报文匹配ACL的结果是“不匹配”、“允许”还是“拒绝”,该报文最终是被允许通过还是拒绝通过,实际是由应用ACL的各个业务模块来决定的。不同的业务模块,对命中和未命中规则报文的处理方式也各不相同。
不匹配(未命中规则):指不存在ACL,或ACL中无规则,再或者在ACL中遍历了所有规则都没有找到符合匹配条件的规则。切记以上三种情况,都叫做“不匹配”。
扩展资料:
ACL基本原理:
ACL,是Access Control List的简称,中文名称叫“访问控制列表”。
ACL由一系列规则(即描述报文匹配条件的判断语句)组成。这些条件,可以是报文的源地址、目的地址、端口号等。
打个比方,ACL其实是一种报文过滤器,ACL规则就是过滤器的滤芯。安装什么样的滤芯(即根据报文特征配置相应的ACL规则),ACL就能过滤出什么样的报文。
基于过滤出的报文,我们能够做到阻塞攻击报文、为不同类报文流提供差分服务、对Telnet登录/FTP文件下载进行控制等等,从而提高网络环境的安全性和网络传输的可靠性。
rule deny tcp source 192.168.0.2 0.0.0.0 destination 192.168.2.1 0.0.0.255 destination-port eq ftp
规则 拒绝 tcp协议 源地址为192.168.0.2这个主机到目的地址为192.168.2.1/255.255.255.0这个网段的目的端口等于ftp协议的
rule permit ip source 192.168.0.2 0.0.0.0 destination 192.168.2.0 0.0.0.255
规则 允许 ip协议 源地址为192.168.0.2这个主机到目的地址为192.168.2.0/255.255.255.0这个网段。
以上两条规则可以这样理解。
允许192.168.0.2这个PC访问192.168.2.0/24这个网段,但是拒绝到所有到192.168.2.0/24这个网段PC机FTP服务。
也就是说,禁止使用ftp服务,其他服务照样好使。
另外里面的eq和destination-port什么意思?
eq是等于这个端口。eq后一定会跟个数字(1-65535)。这个就是端口号。
destination-port是目的端口,也就是标明后面的端口是目的地址的端口。本回答被提问者采纳
r1(config)#time-range TELNET
r1(config-time-range)#periodic weekdays 9:00 to 15:00
说明:定义的时间范围为每周一到周五的9:00 to 15:00
说明:配置R1在上面的时间范围内拒绝R2到R4的telnet,其它流量全部通过。
r1(config)#access-list 150 deny tcp host 10.1.1.2 any eq 23 time-range TELNET
r1(config)#access-list 150 permit ip any any
r1(config)#int f0/1
r1(config-if)#ip access-group 150 out
(1)查看当前R1的时间
r1#sh clock
14:34:33.002 GMT Thu Oct 1 2009
r1#
说明:当前时间为周四14:34,即在所配置的时间范围内。
(2)测试R2向R4发起telnet会话
r2#telnet 14.1.1.4
Trying 14.1.1.4 ...
% Destination unreachable; gateway or host down
r2#
说明:可以看到,在规定的时间范围内,R2向R4发起telnet会话是被拒绝的。
(3)测试除telnet外的其它流量
r2#ping 14.1.1.4
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 14.1.1.4, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
r2#
说明:可以看到,在规定的时间范围内,除了telnet之外,其它流量不受限制。
(4)测试除R2之外的设备telnet情况
r3#telnet 14.1.1.4
Trying 14.1.1.4 ... Open
r4>
说明:可以看到,除R2之外,其它设备telnet并不受限制。
(1)查看当前R1的时间
r1#sh clock
15:01:15.206 GMT Thu Oct 1 2009
r1#
说明:当前时间为周四15:01,即在所配置的时间范围之外。
(2)测试R2向R4发起telnet会话
r2#telnet 14.1.1.4
Trying 14.1.1.4 ... Open
r4>
说明:在时间范围之外,所限制的流量被放开。
eq是比较操作
number
3111
创建acl
高级访问控制列表3111
rule
1
permit
ip
source
172.16.1.0
0.0.0.255
定义小规则1
允许
源ip为172.16.1.0/24(255.255.255.0)的网段访问目标地址为any(所有的ip)地址
acl
number
3112
创建acl高级访问控制列表3112
rule
0
permit
ip
source
172.16.1.200
0
同上
定义小规则0允许源172.16.1.200/32(255.255.255.255)这一个主机访问目标为any的地址
acl
number
3113
定义3113规则
rule
0
permit
ip
小规则0允许源ip地址为any(所有)到目标地址为any地址。
#
acl
name
lan
创建acl为名字的规则,规则名为lan
rule
0
permit
小规则0允许源ip地址为any(所有)到目标地址为any地址。
#
intterface
aux0
异步端口、为系统默认。一般无用。
async
mobe
flow
2000-2999
的acl规则为标准acl
只能定义源ip地址
3000-3999
的acl规则为高级acl
能够定义源ip地址和目的ip地址。
只定义acl
而不引用是无效的。你这几条acl肯定在某一端口下引用了。
