ACL即访问控制列表,是路由器或交换机用来筛选控制IP数据包的规则。
ACL的使用要分三个步骤来:一是创建ACL规则,二是创建rule子规则,三是下发到端口。下面分别来讲:
首先,定义一条ACL规则。命令如下:
[s3928]acl number 3001
然后,定义Rule规则。这是acl配置最复杂也是功能最强大的地方。命令如下:
[s3928-acl-adv-3001]rule 0 deny ip source any destination 211.51.16.245 0.0.0.0
最后,把规则下放到交换机物理端口。 命令如下:
[s3928]interface e1/0/19
[s3928-Ethernet1/0/19]packet-filter outbound ip-group 3001
[s3928-Ethernet1/0/19]packet-filter outbound ip-group 3001 rule 1
ACL的其它操作:
显示ACL列表,命令:
display acl all
display acl 2001
取消ACL操作命令:
[s3928]undo acl number 3001
[s3928-acl-adv-3001]undo rule 0
[s3928-Ethernet1/0/19]undo packet-filter outbound ip-group 3001
Rule举例:
[s3928-acl-adv-3001]rule 0 deny tcp destination 211.51.16.245 0 destination-port eq www precedence routine tos normal // block www service
[s3928-acl-adv-3001]rule 1 deny icmp destination 211.51.16.245 0 // block icmp package
[注意]
(1)、一条Acl,增加了rule了后,要单独再应用该ACL的该Rule才会生效
(2)、思考:如果把屏蔽IP的ACL做在交换机的上行口,是否会减少广播?