display acl 概念及题目
我们来详细解析华为/H3C设备中的 display acl 命令,并通过详细实验展示其应用
第一部分:详细概念解析
-
命令概述
display acl 是一个重要的诊断和维护命令,用于查看ACL(访问控制列表)的配置详情和运行状态。 -
命令语法
display acl { { all | name acl-name | acl-number } [ configuration ] | global } -
参数详解
all:显示所有ACL的配置和统计信息
acl-number:显示指定编号的ACL信息
name acl-name:显示指定名称的ACL信息
configuration:只显示配置信息,不显示匹配统计
global:显示全局应用的ACL信息
- 输出信息详解
典型的 display acl 输出包含以下关键信息:
[R1] display acl 3000
Advanced ACL 3000, 2 rules
Acl’s step is 5
rule 5 permit tcp source 192.168.1.0 0.0.0.255 destination 10.1.1.100 0.0.0.0 destination-port eq 80 (10 matches)
rule 10 deny tcp source any destination 10.1.1.100 0.0.0.0 destination-port eq 22 (5 matches)
ACL类型和编号:Advanced ACL 3000
规则数量:2 rules
步长:Acl’s step is 5(规则编号的增量)
规则详情:每条规则的完整配置
匹配计数:(10 matches) 显示规则被匹配的次数
时间戳:某些版本显示最后匹配时间
第二部分:详细实验
实验目标
通过创建ACL并应用,使用 display acl 命令监控和验证ACL的工作状态。
实验拓扑
[PC1] = (GE0/0/1) [路由器 R1] (GE0/0/2) = [Server]
192.168.1.10/24 192.168.1.1 10.1.1.1/24 10.1.1.100
实验步骤
第1步:基础网络配置
system-view
[R1] interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1] ip address 192.168.1.1 255.255.255.0
[R1-GigabitEthernet0/0/1] quit
[R1] interface GigabitEthernet 0/0/2
[R1-GigabitEthernet0/0/2] ip address 10.1.1.1 255.255.255.0
[R1-GigabitEthernet0/0/2] quit
第2步:创建高级ACL 3000
[R1] acl number 3000
[R1-acl-adv-3000] rule 5 permit tcp source 192.168.1.0 0.0.0.255 destination 10.1.1.100 0.0.0.0 destination-port eq 80
[R1-acl-adv-3000] rule 10 permit tcp source 192.168.1.0 0.0.0.255 destination 10.1.1.100 0.0.0.0 destination-port eq 443
[R1-acl-adv-3000] rule 15 deny tcp source any destination 10.1.1.100 0.0.0.0 destination-port eq 22
[R1-acl-adv-3000] rule 20 permit ip