赞
踩
自反ACL、高级ACL和基本ACL是网络设备上用于控制流量访问的三种不同类型的访问控制列表(ACL),它们在匹配能力、动态性以及应用场景等方面存在明显区别。以下是具体分析:
匹配能力
动态性
应用场景
实验要求:总裁办公室可以访问员工办公司,反之不能
命令:
<Huawei>system-view
[Huawei]undo info-center enable
[Huawei]sysname R1
[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24 //配置IP地址
[R1-GigabitEthernet0/0/0]undo shutdown //打开接口
[R1-GigabitEthernet0/0/0]q
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]ip address 192.168.2.254 24
[R1-GigabitEthernet0/0/1]undo shutdown
[R1-GigabitEthernet0/0/1]
然后进行测试,测试PC1和PC2的连通性
接下来就可以设置高级ACL
命令:
[R1]acl 3000
[R1-acl-adv-3000]rule 10 permit tcp source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 tcp-flag syn ack
//允许员工办公室到总裁办公室的syn+ack报文通过,即允许对总裁办公室发起tcp连接进行回应
[R1-acl-adv-3000]rule 20 deny tcp source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 tcp-flag syn
//拒绝员工办公室到总裁办公室的syn请求报文通过,防止员工办公室主动发起tcp连接
[R1-acl-adv-3000]rule 30 deny icmp source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 icmp-type echo
//拒绝员工办公室到总裁办公室的echo请求报文通过,防止员工办公室主动发起ping连通性测试
[R1-acl-adv-3000]quit
[R1]interface g0/0/1
[R1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000
[R1-GigabitEthernet0/0/1]quit
从上面的结果可以看出,PC1可以连通PC2,PC2无法连通PC1,自此实验结束
综上所述,自反ACL提供了动态性和易管理性,特别适合于那些需要高度安全的网络环境。而高级ACL则因其精细化的流量控制能力而被广泛应用于复杂的网络场景。基本ACL虽然功能较为简单,但在需要粗略流量过滤的场景中仍然有其用武之地。
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。