H3C的ACL
描述:
1 使用标准访问控制列表在时间段1:00-2:00内禁止PC1所在网段192.168.2.0/24的主机能访问PC2所在的网段192.168.3.0/24的主机
2 使用扩张访问控制列表禁止PC1 ping 外部任何网络
3 网络示意图形如下:包括相关的IP地址
路由器1 192.168.1.1 路由器2 192.168.1.2
192.168.2.1 192.168.3.1
PC1(192.168.2.2) PC2(192.168.3.2)
4 H3C ACL相关的一些操作
(1) 启动防火墙
firewall enable
2 配置访问控制列表
acl acl-number [match-order|[ config|auto]]
undo acl alc-number all|normal|special
3
标准访问控制列表
rule {normal |special}{permit|deny}[source source-addreess source-wildcard |any]
扩张访问控制解表
rule {normal|special}{permit}deny} port-number[source source-address source-wildcard |any] [destination dest-address des-wildcard}any]
具体的说明如下:
port -number 为ICMP、TCP ,UDP,IP OSPF等
其中只用在tcp/udp的时候采用port 的意义
[router]acl 100
[router-acl-100] rule deny tcp source any source-port ?
equal 制定接口
greater-than 大于接口
less-than 小于接口
not-equal 不等于
range 在接口的范围
4 特殊时间段的设置
timerrange enable|disable
settr [begin-time end-time]
5 接口上应用ACL
firewall packet-filter acl-number {inbound|outbound}
undo firewall packet-filter acl-number [inbound|outbound]
6 具体的应用如下
6.1 设计主机Ip地址
PC1: IP 192.168.2.2/24 网关192.168.2.1
PC2: IP 192.168.3.2/24 网关 1923.168.3.1
6.2 具体的路由器相关的ip接口配置不在详细的说明
6.3 在R2上的标准访问控制列表
[R2]firewall enable
[R2]timerange enable
[R2]settr 1:00 2:00
[R2]acl 1
[R2-acl-1] rule special deny source 192.168.2.0 0.0.0.255
[R2]firewall default permit
[R2]interface e0
[R2-ethernt0]firewall packet-filter 1 outbound
6.4 在R1上设置扩展的ACL
[R1]firewall enable
[R1]acl 100
[R1-acl-100]rule deny icmp source 192.168.2.2 0.0.0.0 destination any icmp-type echo
[R1]firewall default permit
[R1]interface e0
[R1-ethernet0]firewall packet-filter 100 inbound
阅读(2084) | 评论(0) | 转发(0) |
