ACL包過濾防火牆功能對ICMP報文的過濾

ACL包過濾防火牆技術是我們學習NE的重要技術，H3C V7設備默認包過濾防火牆功能就開啟了，默認的規則是permit。今天的技術帖我們就給大家介紹針對ICMP協議的包過濾。

拓撲圖如下圖所示：

RT1和RT3配置正確的路由之後，10.1.1.1可以ping通20.1.1.2，配置包過濾防火牆功能，讓10.1.1.1 ping不通 20.1.1.2，但是20.1.1.2能ping通10.1.1.1。

思路：一般我們ping 某一個地址，會向對方發送echo的請求報文，等待對方回送echo reply的應答，此時就可以配置包過濾針對icmp的報文做過濾。

RT1的配置如下所示：

[RT1]acladvanced 3000 //配置高級的ACL

[RT1-acl-ipv4-adv-3000]rule0 deny icmp source 10.1.1.1 0.0.0.0 destination 20.

1.1.20.0.0.0 icmp-type echo //拒絕10.1.1.1發往20.1.1.2的icmp的請求報文

[RT1]interfaceGigabitEthernet 0/0

[RT1-GigabitEthernet0/0]packet-filter3000 outbound //包過濾防火牆在介面生效

配置成功之後，拿10.1.1.1 ping 20.1.1.2發現ping不通，因為icmp的請求報文已經被過濾，如下圖所示：

但是20.1.1.2可以ping通10.1.1.1，因為20.1.1.2發往10.1.1.1的icmp請求報文沒有被過濾，匹配默認規則permit，如下圖所示：

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！