傳輸層與路由器的acl控制
傳送資料 打包裝(封裝)的過程
接受資料 拆包裝的過程
速度 www.baidu.com
可靠 10000 +1000
tcp建立連結標誌位:
syn 打算建立連線
ack 確認
fin 打算斷開連線
tcp三次握手
TCP
可靠 面向連線
效率低
UDP
不可靠 無連線
效率高
tcp:
ftp 21
http 80
smtp 25
ssh 22
https 443
dns 53
mariadb 3306
telnet 23
udp
tftp 69
dns 53
ntp 123
基本ACL概述
- 華為基本ACL
- 基於源ip地址過濾資料包
- 列表號2000-2999
- 配置基本ACL
[Huawei]acl 2000 //定義基本acl,列表號是2000
[Huawei-acl-basic-2000]rule deny source 192.168.2.1 0 //拒絕源地址是192.168.2.1的資料通過
[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 2000 //進入介面後,應用acl
例項:
1,允許2.1通過
2,拒絕所有人通過
[Huawei]acl 2000
[Huawei-acl-basic-2000]undo rule 5 //刪除舊規則
[Huawei-acl-basic-2000]rule permit source 192.168.2.1 0
[Huawei-acl-basic-2000]rule deny source any //拒絕所有人
[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1] traffic-filter inbound acl 2000 //在介面的入方向應用規則,如果之前應用過則不用設定
高階ACL概述
- 華為高階ACL
- 基於源IP地址、目的IP地址、源埠、目的埠、協議,過濾資料包
- 列表號是3000-3999
使用高階acl滿足新需求:
注意先要在g0/0/1口中刪除acl 2000 命令是進入介面後輸入 undo traffic-filter inbound
[Huawei]acl 3000
[Huawei-acl-adv-3000]rule deny tcp source 192.168.2.1 0 destination 192.168.1.1 0 destination-port eq 21 //拒絕2.1訪問1.1的21號埠(ftp服務)
[Huawei-acl-adv-3000]rule deny tcp source 192.168.2.2 0 destination 192.168.1.1 0 destination-port eq 80 //拒絕2.2訪問1.1的80號埠(http服務)