ACL包過濾防火牆功能對ICMP報文的過濾
ACL包過濾防火牆技術是我們學習NE的重要技術,H3C V7設備默認包過濾防火牆功能就開啟了,默認的規則是permit。今天的技術帖我們就給大家介紹針對ICMP協議的包過濾。
拓撲圖如下圖所示:
RT1和RT3配置正確的路由之後,10.1.1.1可以ping通20.1.1.2,配置包過濾防火牆功能,讓10.1.1.1 ping不通 20.1.1.2,但是20.1.1.2能ping通10.1.1.1。
思路:一般我們ping 某一個地址,會向對方發送echo的請求報文,等待對方回送echo reply的應答,此時就可以配置包過濾針對icmp的報文做過濾。
RT1的配置如下所示:
[RT1]acladvanced 3000 //配置高級的ACL
[RT1-acl-ipv4-adv-3000]rule0 deny icmp source 10.1.1.1 0.0.0.0 destination 20.
1.1.20.0.0.0 icmp-type echo //拒絕10.1.1.1發往20.1.1.2的icmp的請求報文
[RT1]interfaceGigabitEthernet 0/0
[RT1-GigabitEthernet0/0]packet-filter3000 outbound //包過濾防火牆在介面生效
配置成功之後,拿10.1.1.1 ping 20.1.1.2發現ping不通,因為icmp的請求報文已經被過濾,如下圖所示:
但是20.1.1.2可以ping通10.1.1.1,因為20.1.1.2發往10.1.1.1的icmp請求報文沒有被過濾,匹配默認規則permit,如下圖所示:
※H3C CAS雲平台虛擬機的遷移
※網路安全名詞你真的懂嗎?
TAG:王海軍老師 |