DA访问控制列表.pptVIP

DA000023 访问控制列表基本配置 1.0 学习目标 访问控制列表的分类 访问控制列表基本配置 课程内容 访问控制列表的分类 基本的访问控制列表（basic acl） 高级的访问控制列表（advanced acl） 基于接口的访问控制列表（interface-based acl） 课程内容 基本访问控制列表 标准访问控制列表只使用源地址描述数据，表明是允许还是拒绝。 基本访问控制列表 创建基本访问控制列表，可以是名字方式，也可以是数字方式 acl { number acl-number | name acl-name basic } [ match-order { config | auto } ] 注意： number范围：1－99 match-order方式：config和auto两种 Config：指按照配置的顺序执行 Auto：指按照深度优先的方式执行 基本访问控制列表 在基本访问控制列表视图下，配置ACL规则 rule [ rule-id ] { permit | deny } [ source source-addr source-wildcard | any ] [ time-range time-name ] [ logging ] [ fragment ] 在基本访问控制列表视图下，取消ACL规则 undo rule rule-id [ source ] [ time-range ] [ logging ] [ fragment ] 注意： rule-id：ACL的规则编号，范围为0～127 source：指定ACL规则的源地址信息 time-range：对应的ACL规则在规定时间生效的设置 logging：对应的ACL规则对符合条件的数据包做日志的设置 fragment：对应的ACL规则仅对非首片分片报文有效的设置 基本访问控制列表配置举例 举例：路由器允许源地址为/24网段数据通过，拒绝源地址/24网段数据通过。 [Quidway] acl number 10 [Quidway-acl-basic-10] rule 1 permit source 55 [Quidway-acl-basic-10] rule 2 deny source 55 高级访问控制列表 高级访问控制列表使用除源地址外更多的信息描述数据包，表明是允许还是拒绝。 高级访问控制列表 创建高级访问控制列表，可以是名字方式，也可以是数字方式 acl { number acl-number | name acl-name advanced } [ match-order { config | auto } ] 注意： number范围：100－199 advanced: 代表高级访问控制列表 match-order方式：config和auto两种 config：指按照配置的顺序执行 auto：指按照深度优先的方式执行 高级访问控制列表 在高级访问控制列表视图下，配置ACL规则 rule [ rule-id ] { permit | deny } protocol [ source source-addr source-wildcard | any ] [ destination dest-addr dest-mask | any ] [ soure-port operator port1 [ port2 ] ] [ destination-port operator port1 [ port2 ] ] [ icmp-type icmp-type icmp-code ] [ precedence precedence ] [ tos tos ] [ time-range time-name ] [ logging ] [ fragment ] 高级访问控制列表 在高级访问控制列表视图下，取消ACL规则 undo rule rule-id [ source ] [ destination ] [ soure-port ] [ destination-port ] [ icmp-type ] [ precedence ] [ tos ] [ time-range ] [ logging ] [ fragment ] 注意： source-port：指定UDP或者TCP报文的源端口信息 destiation-port：指定UDP或者TCP报文的目的端口信息 icmp-type：指定ICMP报文的类型和消息码信息 tos：对应的ACL规则的tos的相关设置 高级访问控制列表配置举例 举例：路由器允许源地址为/24，目的地址为0/32，协议类型为HTT