ACL包過(guò)濾防火墻技術(shù)是我們學(xué)習(xí)NE的重要技術(shù),H3C V7設(shè)備默認(rèn)包過(guò)濾防火墻功能就開啟了,默認(rèn)的規(guī)則是permit。今天的技術(shù)帖我們就給大家介紹針對(duì)ICMP協(xié)議的包過(guò)濾。
拓?fù)鋱D如下圖所示:
RT1和RT3配置正確的路由之后,10.1.1.1可以ping通20.1.1.2,配置包過(guò)濾防火墻功能,讓10.1.1.1 ping不通 20.1.1.2,但是20.1.1.2能ping通10.1.1.1。
思路:一般我們ping 某一個(gè)地址,會(huì)向?qū)Ψ桨l(fā)送echo的請(qǐng)求報(bào)文,等待對(duì)方回送echo reply的應(yīng)答,此時(shí)就可以配置包過(guò)濾針對(duì)icmp的報(bào)文做過(guò)濾。
RT1的配置如下所示:
[RT1]acladvanced 3000 //配置高級(jí)的ACL
[RT1-acl-ipv4-adv-3000]rule0 deny icmp source 10.1.1.1 0.0.0.0 destination 20.
1.1.20.0.0.0 icmp-type echo //拒絕10.1.1.1發(fā)往20.1.1.2的icmp的請(qǐng)求報(bào)文
[RT1]interfaceGigabitEthernet 0/0
[RT1-GigabitEthernet0/0]packet-filter3000 outbound //包過(guò)濾防火墻在接口生效
配置成功之后,拿10.1.1.1 ping 20.1.1.2發(fā)現(xiàn)ping不通,因?yàn)?span lang="EN-US">icmp的請(qǐng)求報(bào)文已經(jīng)被過(guò)濾,如下圖所示:
但是20.1.1.2可以ping通10.1.1.1,因?yàn)?span lang="EN-US">20.1.1.2發(fā)往10.1.1.1的icmp請(qǐng)求報(bào)文沒(méi)有被過(guò)濾,匹配默認(rèn)規(guī)則permit,如下圖所示:
