ACL

Access Control List

标准ACL:

只能检测数据包的源IP

[H3C]

acl basic 2000/name xxx 序号或者名称

rule permit source 10.1.1.1 0.0.0.0

rule deny any

packet-filter 2000 inbound

扩展ACL:

格式:

acl advanced {3000-3999}

rule + {permit/deny} + 协议 + 源地址 + 源端口 + 目标地址 + 目标端口

[H3c]

acl advanced 3000

rule 0 deny tcp source 10.1.1.1 0 destination 10.2.2.2 0 destination-port eq telnet

eq 等于指定端口

lt 小于指定端口

gt 大于指定端口

rule 0 deny icmp source 10.1.1.1 0 destination 10.2.2.2 0 icmp-type echo-reply

只禁用icmp的返回包

缺陷:

  • 只支持5000条
  • 不易于管理
  • 基于接口
  • 不是状态化