ACL即访问控制列表,是路由器或交换机用来筛选控制IP数据包的规则。

ACL的使用要分三个步骤来:一是创建ACL规则,二是创建rule子规则,三是下发到端口。下面分别来讲:

首先,定义一条ACL规则。命令如下:

       [s3928]acl number 3001

然后,定义Rule规则。这是acl配置最复杂也是功能最强大的地方。命令如下:

       [s3928-acl-adv-3001]rule 0 deny ip source any destination 211.51.16.245 0.0.0.0

最后,把规则下放到交换机物理端口。 命令如下:

       [s3928]interface e1/0/19

       [s3928-Ethernet1/0/19]packet-filter outbound ip-group 3001

       [s3928-Ethernet1/0/19]packet-filter outbound ip-group 3001 rule 1

ACL的其它操作:

显示ACL列表,命令:

       display acl all

       display acl 2001

取消ACL操作命令:

       [s3928]undo acl number 3001

       [s3928-acl-adv-3001]undo rule 0

       [s3928-Ethernet1/0/19]undo packet-filter outbound ip-group 3001

Rule举例:

       [s3928-acl-adv-3001]rule 0 deny tcp destination 211.51.16.245 0 destination-port eq www precedence routine tos normal   // block www service

       [s3928-acl-adv-3001]rule 1 deny icmp destination 211.51.16.245 0   // block icmp package

[注意]

(1)、一条Acl,增加了rule了后,要单独再应用该ACL的该Rule才会生效

(2)、思考:如果把屏蔽IP的ACL做在交换机的上行口,是否会减少广播?

03-14 14:20