traffic-filter inbound acl 概念及题目
我们来全面深入地解析华为/H3C设备中的 traffic-filter inbound acl { acl-number | name acl-name } 命令。
第一部分:详细概念解析
1.命令定义
traffic-filter inbound acl { acl-number | name acl-name } 是用于在接口入方向应用ACL进行流量过滤的关键命令。
-
命令完整语法
interface interface-type interface-number
traffic-filter inbound acl { acl-number | name acl-name } -
参数详解
traffic-filter:流量过滤功能
inbound:方向参数,对进入接口的流量进行过滤
acl acl-number:通过ACL编号指定过滤规则
name acl-name:通过ACL名称指定过滤规则 -
ACL编号范围
基本ACL:2000-2999(基于源IP地址)
高级ACL:3000-3999(基于源/目的IP、协议、端口等)
二层ACL:4000-4999(基于MAC地址)
用户ACL:6000-6031
- 工作原理
入方向过滤流程:
[外部网络] → [数据包进入接口] → [ACL入方向过滤] → [路由查询] → [转发/丢弃]
↓
traffic-filter inbound生效点
关键特性:
过滤时机:在路由查询之前进行过滤
效率优势:早期丢弃无效包,节省系统资源
安全优势:防止恶意流量进入设备
第二部分:详细实验
实验目标
通过多个场景掌握 traffic-filter inbound acl 的配置和应用。
实验拓扑
[PC1] = (GE0/0/1) [路由器 R1] (GE0/0/2) = [Server]
192.168.1.10/24 192.168.1.1 10.1.1.1/24 10.1.1.100
[PC2] [Web Server]
192.168.1.20/24 10.1.1.200
实验一:基础入站过滤 - 基于ACL编号
第1步:基础网络配置
system-view
[R1] interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1] ip address 192.168.1.1 255.255.255.0
[R1-GigabitEthernet0/0/1] quit
[R1] interface GigabitEthernet 0/0/2
[R1-GigabitEthernet0/0/2] ip address 10.1.1.1 255.255.255.0
[R1-GigabitEthernet0/0/2] quit
第2步:创建高级ACL 3000(基于编号)
[R1] acl number 3000
[R1-acl-adv-3000] rule 5 deny tcp source 192.168.1.10 0.0.0.0 destination 10.1.1.100 0.0.0.0 destination-port eq 80
[R1-acl-adv-3000] rule 10 deny tcp source 192.168.1.10 0.0.0.0 destination 10.1.1.100 0.0.0.0 destination-port eq 23
[R1-acl-adv-3000] rule 15 permit ip source any destination any
[R1-acl-adv-3000] quit
第3步:在GE0/0/1接口入方向应用ACL
[R1] interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1] traffic-filter inbound acl 3000
[R1-GigabitEthernet0/0/1] quit
第4步:验证测试
从PC1测试
PC1> ping 10.1.1.100 # 成功(ICMP被rule 15允许)
PC1> telnet 10.1.1.100 80 #