ACL一般是建议做在入口(inbound)方向,虽说放在出口(outbound)也可以,但为了减少开销和设备性能,更建议做在入口(inbound)方向。
这里记录演示一下基本ACL和高级ACL的实例
拓扑图依然引用使用OSPF路由协议简单组网中的拓扑图:
基本ACL演示:
华为设备 基本ACL表号:2000 - 2999
在网络收敛状态拒绝192.168.163.128/32主机访问192.168.175.128/32主机
配置ACL规则
[R1-acl-basic-2001]rule 1 deny source 192.168.163.128 0
配置接口应用ACL规则
[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 2001
效果输出
此时两台主机间的所有流量都将在R1路由器的interface g0/0/0被拒绝。
高级ACL演示:
华为设备 高级ACL表号:3000 - 3999
在网络收敛状态拒绝192.168.163.128/32主机访问192.168.175.128/32主机的http/www服务,在此之前需要在192.168.175.128主机上安装IIS服务
配置ACL规则
[R1-acl-adv-3001] rule 1 deny tcp source 192.168.163.128 0 destination 192.168.175.128 0 destination-port eq www
配置接口应用ACL规则
[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]
效果输出
除了不能访问主机的http/ww服务,其他服务都正常通信,如ICMP协议。