访问控制列表用来限制使用者或设备,达到控制网络流量,解决拥塞,提高安全性等。在IP网络中,可以使用的访问列表一般有基础访问列表(华为ACL的编号为为2000-2999)、高级访问列表(ACL编号是3000-3999)两种。
基础访问列表:
acl [number] acl-number(2000-2999)[match-order] {auto | config}
rule [rule-id] permit | deny source IP地址 反向子网掩码
高级访问列表:
acl [number] acl-number(3000-3999) [match-order] {auto | config}
rule [rule-id] permit | deny {protocol} source 源IP地址 反掩码 destination 目的IP地址 反掩码 destination-port eq 端口号
高级访问控制列表应该尽量放置在接近数据流的源的地方,基础的访问控制列表应该尽量放置在接近数据流的目的地方。
基于时间的访问列表是在原来基础访问列表和高级访问列表中加入有效的时间范围来更合理有效地控制网络的。然后在原来的各种访问列表的基础上应用它即可。
注意:有些华为S系列交换机的设备配置ACL不能直接在接口下配置ACL来应用。那么就需要先配ACL,然后配流分类(traffic classifier tc1),将ACL和流分类绑定,再配流行为(traffic behavior tb1),接着配置流策略(traffic policy tp1),最后把策略应用到接口下,让ACL生效。
另外也需要注意在防火墙中应用ACL的配置。
相关推荐:2021年软考考试时间安排