HCIA配置命令集

這篇具有很好參考價(jià)值的文章主要介紹了HCIA配置命令集。希望對(duì)大家有所幫助。如果存在錯(cuò)誤或未考慮完全的地方，請(qǐng)大家不吝賜教，您也可以點(diǎn)擊"舉報(bào)違法"按鈕提交疑問。

擴(kuò)展

交換機(jī)

路由器

路由器網(wǎng)關(guān)配置

DHCP服務(wù)器

Telnet?? ：遠(yuǎn)程登錄協(xié)議

? ? 靜態(tài)路由配置

? ? 動(dòng)態(tài)路由

OSPF

RIP

NAT—網(wǎng)絡(luò)地址轉(zhuǎn)換

ACL—訪問控制列表

ACL的分類：

配置

配置基礎(chǔ)ACL?? ：

例一：

例二：

配置高級(jí)ACL?? ：

例一：

例二：

擴(kuò)展

<Huawei>save一保存配置

<Huawei>reset??saved-configuration? ?

??????????????????????????????????????????—清除以保存的命令

????????????????????????????????????????????????（之后還要輸入reboot重起模擬器，輸入 n在輸入 y）

<Huawei>reset ospf process

Warning: The OSPF process will be reset. Continue? [Y/N]:???????????????? 重啟設(shè)備，重置OSPF

<R2>ping -a?? 1.1.1.1? 192.168.3.1???? 指定源和目標(biāo)

????????????????????????? 原IP?????????? 目標(biāo)IP

[Huawei-GigabitEthernet0/0/1]display ip interface brief??? 查看接口配置信息

[Huawei]display this：查看該位置配置的一些指令

[Huawei]display current-configuration?????? 查看設(shè)別所做的所有配置

[R1]display ip routing-table protocol static -查看路由表中通過靜態(tài)寫的路由

[r2]display? ospf? peer????? 查看鄰居表?

[r2]display? ospf? peer brief???? 查看鄰居簡表

???? [r3-ospf-1-area-0.0.0.1]display ospf lsdb ?????查看目錄? （LSA）

[r3-ospf-1-area-0.0.0.1]display ospf lsdb router 2.2.2.2????? 查看某一個(gè)路由器的LSA信息

[r3-ospf-1]display ip routing-table protocol ospf???????? 查看過濾路由器通過OSPF學(xué)到的路由

[r1-GigabitEthernet0/0/0]display acl 2000??? 查找創(chuàng)建ACL

<r2>display nataddress-group??? 查看那些地址可以被使用

交換機(jī)

1.創(chuàng)建VLAN

[SW1]vlan ?

? INTEGER<1-4094>? VLAN ID

? batch??????????? Batch process??????????????????????? batch? 批量創(chuàng)建（batch 6 to 100??? 創(chuàng)建6~100）

[SW1]undo vlan batch 6 ?to 100 批量刪除VLAN

查看VLAN：[SW1]display vlan

2.接口分配鏈路類型

[SW1-GigabitEthernet0/0/1]port link-type access 一規(guī)定Acess類型的鏈路傳遞的是不攜帶標(biāo)簽的流量

?????? 交換機(jī)和PC相連的接口類型都是Access

[SW1-GigabitEthernet0/0/2]port link-type ?

??access??????? Access port????????????????? 不攜帶標(biāo)簽的流量

? dot1q-tunnel? QinQ port

? hybrid??????? Hybrid port

? trunk???????? Trunk port??????????????????? 從該接口出去的流量攜帶標(biāo)簽

3.接口劃分VLAN

[SW1-GigabitEthernet0/0/1]port default vlan 2

4.跨網(wǎng)段的通訊

配置命令使交換機(jī)之間的鏈路（交換機(jī)一與二的公共鏈路，或者是交換機(jī)與路由器單線連接）可以讓VLAN1和VLAN2 的命令通過

[SW1-GigabitEthernet0/0/5]port link-type trunk ?????

[SW1-GigabitEthernet0/0/5]port trunk allow-pass vlan 2 3???????????

跨網(wǎng)段的通訊：需要借助路由

交換機(jī)和路由器之間的鏈路類型配置Trunk（若這條鏈路承載多個(gè)VLAN的流量）

[r1]interface GigabitEthernet /0/0/0.1??????????

因?yàn)橐粋€(gè)物理接口不能同時(shí)服務(wù)多個(gè)廣播域，所以設(shè)計(jì)了一個(gè)虛擬接口一子接口

[Huawei-GigabitEthernet0/0/0.1]dot1q termination? vid 2?????? 讓路由器的子接口服務(wù)某個(gè)VLAN

[r1-GigabitEthernet0/0/0.1]arp broadcast enable 一開啟ARP廣播功能

路由器

路由器網(wǎng)關(guān)配置

配置IP地址：為所有需要配置IP地址的節(jié)點(diǎn)配置IP??????? Tab 自動(dòng)補(bǔ)全??????? ？相當(dāng)于help查看接下來可以輸入的命令

<Huawei>system-view?? 進(jìn)入系統(tǒng)（全局）視圖

[Huawei]interface GigabitEthernet0/0/0????????進(jìn)入端口0/0/0

[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.1 24（255.255.255.0）??? 給端口配置IP

[Huawei-GigabitEthernet0/0/0]quit (q)退回上一級(jí)

[Huawei]int? g0/0/1????????進(jìn)入端口0/0/1

[Huawei-GigabitEthernet0/0/1]ip address 192.168.2.1 24??? 給端口配置IP

[Huawei-GigabitEthernet0/0/1]display ip interface brief??? 查看接口配置信息

[Huawei]display this：查看該位置配置的一些指令

[Huawei-GigabitEthernet0/0/0]undo （想要?jiǎng)h除的命令）?? 在原配置之前加一個(gè)undo可以刪除該配置

[Huawei-GigabitEthernet0/0/0]undo ip address? 刪除IP地址

[Huawei]sysname 更改用戶名

DHCP服務(wù)器

[R1]dhcp enable ????????啟動(dòng)DHCP服務(wù)

[R1lip pool aaa??? （池塘名字例如aaa） ?創(chuàng)建名為aaa的DHCP池塘，

一臺(tái)設(shè)備可以創(chuàng)建多個(gè)池塘，但一個(gè)池塘只能服務(wù)一個(gè)廣播域???

[R1-ip-pool-aaa]network 192.168.1.0 mask 24???? 綁定接口，可分配地址范圍

[R1-ip-pool-aaa]gateway-list 192.168.1.1-下發(fā)網(wǎng)關(guān)

[R1-ip-pool-aaa]dns-list 8.8.8.8 114.114.114.114-下發(fā)DNS服務(wù)器信息

切記：路由器上各個(gè)DHCP工作接口也必須開啟DHCP服務(wù)

[R1-GigabitEthernet0/0/0]dhcp select global-對(duì)應(yīng)接口激活全局池塘的配置

[R1-GigabitEthernet0/0/0] quit??? 退出0/0/0接口

[R1lip pool bbb??? ??創(chuàng)建名為bbb的DHCP池塘，

[R1-ip-pool-bbb]network 192.168.2.0 mask 24???? 綁定接口，可分配地址范圍

[R1-ip-pool-bbb]gateway-list 192.168.2.1????? 下發(fā)網(wǎng)關(guān)

[R1-ip-pool-bbb]dns-list 8.8.8.8 114.114.114.114???? 下發(fā)DNS服務(wù)器信息

[R1-GigabitEthernet0/0/1]dhcp select global-對(duì)應(yīng)接口激活全局池塘的配置

Telnet?? ：遠(yuǎn)程登錄協(xié)議

對(duì)第二臺(tái)路由器進(jìn)行配置使之成為，Telnet客戶端，命令如下：

[Huawei]sysname? R2 更改名字為

[R2]aaa一華為設(shè)備存儲(chǔ)賬號(hào)和密碼的空間

[R2-aaa]local-user huaei password cipher 123456????? 創(chuàng)建登錄賬號(hào)和密碼，華為默認(rèn)密文存儲(chǔ)

[R2-aaa]local-user huawei service-type telnet???? 讓這個(gè)賬號(hào)用作telnet (遠(yuǎn)程登錄)

[R2-aaa]local-user huawei privilege level? 15?????? 設(shè)置登錄權(quán)限，數(shù)值越大權(quán)限越高

[R2]user-interface vty 0? 4??????? 創(chuàng)建用于登錄的接口，注意這里的接口是虛擬接口并不真實(shí)存在

[R2-ui-vty0-4]authentication-mode aaa?????? 綁定aaa空間的賬號(hào)和密碼

最后使用R2遠(yuǎn)程登錄R1并使其ping廣播域內(nèi)任何一臺(tái)設(shè)備，命令如下：

<R2>telnet 192.168.3.1??????????? 訪問與R1連接的接口192.168.3.1

Username:huawei???????????????????? 輸入用戶名：huawei

Password:123456????????????????????? 輸入密碼：123456(密碼不會(huì)顯示)

<R1>ping 192.168.1.2?????????????? ping路由器所連接的一個(gè)廣播域內(nèi)的設(shè)備進(jìn)行驗(yàn)證?

靜態(tài)路由配置

配置

[R1]ip route-static? 192.168.3.0 24???? 192.168.2.2

靜態(tài)路由????????? 目標(biāo)路由網(wǎng)段????????????? 下一跳

（Destination/Mask）??? （NextHop）

[R1]display ip routing-table protocol static -查看路由表中通過靜態(tài)寫的路由

1.環(huán)回接口：

[R1]interface LoopBack ??????? （接口? 環(huán)回）

<0-1023> LoopBackinterface number

配置接口：[R1]interface LoopBack 0 （接口號(hào)范圍0~1023）

2.手工匯總：

當(dāng)路由器去訪問多個(gè)連續(xù)的子網(wǎng)，并且這些子網(wǎng)具備相同的下一跳，那么就可以進(jìn)行匯

[R2]ip route-static 192.168.0.0 22 12.0.0.1

4.缺省路由

缺省和黑洞相遇必定成環(huán)

[R1]ip route-static 0.0.0.0 0 12.0.0.2????????

因?yàn)榇藭r(shí)沒有網(wǎng)絡(luò)位，主機(jī)位全零??? 因此代表所有IP，相當(dāng)于訪問互聯(lián)網(wǎng)

5.空接口

黑洞路由器

[R1]ip route-static 192.168.0.0 22 NULL 0??? 做法：在黑洞路由器上配置一條去往匯總網(wǎng)段的路由指向空接口?? 并且遵循? 最長掩碼匹配原則——路由表最優(yōu)先的規(guī)則（若存在多條路由，只會(huì)匹配子網(wǎng)掩碼最長的路由）

<R2>ping -a?? 1.1.1.1? 192.168.3.1???? 指定源和目標(biāo)

????????????????????????? 原IP?????????? 目標(biāo)IP

6.浮動(dòng)靜態(tài)路由

?pre：優(yōu)先級(jí)

ip route-static 0.0.0.0 0 192.168.1.22 preference 61??? 更改路由優(yōu)先級(jí)（數(shù)值范圍0~255）

優(yōu)先級(jí)數(shù)值越大，優(yōu)先級(jí)的級(jí)別反而越大

????? undo shutdown??? 打開接口

shutdown??? 關(guān)閉接口

動(dòng)態(tài)路由

OSPF

1.啟動(dòng)OSPF進(jìn)程，配置RID

[r1]ospf ?

INTEGER<1-65535> ProcessID?????????? 配置進(jìn)程ID

[r1]ospf 1 router-id 1.1.1.1????????????????? 盡量手工指定

2.創(chuàng)建區(qū)域

[r1-ospf-1]area 0

3.宣告

[r1-ospf-1-area-0.0.0.0]network 1.1.1.0 ?0.0.0.255????? 范圍宣告（相當(dāng)于宣告了一個(gè)網(wǎng)段）

0.0.0.255：(反掩碼)?

0代表不可變1代表可變

32位二進(jìn)制構(gòu)成，連續(xù)的0或連續(xù)的1 構(gòu)成，掩碼唯一的部分是網(wǎng)絡(luò)位，相當(dāng)于不可變

[r1-ospf-1-area-0.0.0.0]network 12.0.0.1 0.0.0.0? 精準(zhǔn)宣告，相當(dāng)于只宣告一個(gè)IP

擴(kuò)展：??

[r2]display? ospf? peer????? 查看鄰居表?

[r2]display? ospf? peer brief???? 查看鄰居簡表

???? [r3-ospf-1-area-0.0.0.1]display ospf lsdb ?????查看目錄? （LSA）

[r3-ospf-1-area-0.0.0.1]display ospf lsdb router 2.2.2.2????? 查看某一個(gè)路由器的LSA信息

[r3-ospf-1]display ip routing-table protocol ospf???????? 查看過濾路由器通過OSPF學(xué)到的路由

[r3-ospf-1]bandwidth-reference 10000-修改帶寬

優(yōu)先級(jí)改變

Priority:1?????????????? DR的優(yōu)先級(jí)? 數(shù)值大的成為DR

[r1-GigabitEthernet0/0/0]ospf dr-priority ?

INTEGER<0-255> Router priority value

干涉DR和BDR的選舉，0代表不參選????? [r1-GigabitEthernet0/0/0]ospf dr-priority 0

接口認(rèn)證：

[R4-GigabitEthernet0/0/0]ospf authentication-mode md5 1 plain 123456

1：認(rèn)證編號(hào)（鎖的編號(hào)，一個(gè)設(shè)備可以同時(shí)擁有多把鎖，增加安全性）

區(qū)域認(rèn)證：本質(zhì)依然是接口認(rèn)證

[Huawei-ospf-1-area-0.0.0.0]authentication-mode md5 1 plain 123456

2.手工匯總

區(qū)域匯總：ABR上進(jìn)行配置

[r4-ospf-1area 0???????????? 進(jìn)入對(duì)應(yīng)的區(qū)域(宣告在那個(gè)區(qū)域就在那個(gè)區(qū)域匯總)

[r4-ospf-1-area-0.0.0.0]abr-summary 172.16.0.0 255.254.0.0??????? 匯總(掩碼只能寫點(diǎn)分十制)

3.沉默接口：

[r5-ospf-1]silent-interface GigabitEthernet 0/0/1?????????????? 不給某接口下發(fā)OSPF，配置在某位置

4.加快收斂

[r4-GigabitEthernet0/0/1]ospf timer hello 5-只需要接口改變hello時(shí)間

死亡時(shí)間默認(rèn)會(huì)根據(jù)4倍的關(guān)系，自動(dòng)修改（或者[R4-GigabitEthernet0/0/0]ospf timer dead 20）

結(jié)論：所有接口都需要修改

5.缺省路由

[r5-ospf-1]default-route-advertise-配置位置，ospf進(jìn)程中

必須給自身存在一條缺省，才能給其他設(shè)備下發(fā)缺省??? [r5]ip route-static 0.0.0.0 0 NULL 0

[r5-ospf-1]default-route-advertise always -強(qiáng)制下發(fā)缺省

RIP

RIP基礎(chǔ)配置：

[r1]rip ?

INTEGER<1-65535> Process ID??????? 進(jìn)程ID，不同的進(jìn)程號(hào)，相當(dāng)于不同的協(xié)議

[r1]rip 1?????????????????????????????????????????????????? 啟動(dòng)RIP進(jìn)程

[r1-rip-1]version 2????????????????????????????????? 選擇版本

[r1-rip-1]network 1.0.0.0??????????????????????? 宣告（只需要宣告自身直連網(wǎng)段）

RIP擴(kuò)展：

1RIP的手工認(rèn)證-RIPV2

[r1-GigabitEthernet0/0/0]rip authentication-mode simple cipher123456一? 接口認(rèn)證? 采用simple轉(zhuǎn)發(fā)過程中以明文的方式

[r2-GigabitEthernet0/0/0]rip authentication-mode md5 usual cipher 123456??????? 采用MD5的方式進(jìn)行加密? 轉(zhuǎn)發(fā)過程中以密文的方式??????????????????????????????????????????? 認(rèn)證

?simple：發(fā)送RIP的數(shù)據(jù)包中密碼以明文方式進(jìn)行轉(zhuǎn)發(fā)???? 認(rèn)證算法必須一致：Simple ??MD5（倆種）

?cipher：本地密文的方式存儲(chǔ)?? ?cipher? 與 plain（本地誰都可見）? （倆種，不強(qiáng)求一致）?

2.RIP的手工匯總

[r1-GigabitEthernet0/0/0]rip summary-address 192.168.0.0 255.255.252.0

配置位置RIP數(shù)據(jù)包發(fā)出接口，并且掩碼只能寫點(diǎn)分十進(jìn)制，不能直接寫數(shù)字

3.沉默接口

這個(gè)接口將只接收數(shù)據(jù)包，但不會(huì)發(fā)送RIP數(shù)據(jù)包

[r1-rip-1]silent-interface GigabitEthernet 0/0/1????????? 配置位置RIP進(jìn)程?????????????????? silent-interface???????? 沉默接口

4.RIP的加快收斂

更改RIP計(jì)時(shí)器

[r1-rip-1]timers rip 10 60 40

10??????????? 60???????????? 40

發(fā)送周期?? 生存時(shí)間??? 刪除周期

5.RIP缺省路由

[r2-rip-1]default-route originate

NAT—網(wǎng)絡(luò)地址轉(zhuǎn)換

靜態(tài)NAT

在邊界路由器上的出接口，手工建立維護(hù)一張靜態(tài)的NAT映射表（公網(wǎng)IP地址和私網(wǎng)IP地址之間的 對(duì)應(yīng)關(guān)系并且這種關(guān)系是一 一對(duì)應(yīng)的）

?????? [r2-GigabitEthernet0/0/2]nat static global 23.0.0.1 inside 192.168.1.2?

?Error: The address conflicts with interface or ARP IP.? ?global公網(wǎng)?? inside 私網(wǎng)

[r2-GigabitEthernet0/0/2]nat static global 23.0.0.3 inside 192.168.1.2 ?????

23.0.0.3—漂浮地址（合法）——目前來說必須在公網(wǎng)網(wǎng)段范圍內(nèi) （且沒被設(shè)備使用）

[r2]display nat static—查看靜態(tài)NAT的配置

動(dòng)態(tài)NAT

動(dòng)態(tài)NAT：多對(duì)多的NAT

1.創(chuàng)建公網(wǎng)地址組—這些公網(wǎng)地址必須連續(xù)。

?[r2]nat address-group 0 23.0.0.3 ?23.0.0.5

開始地址 ~~結(jié)束地址? （公網(wǎng)地址必須連續(xù)。）

?2.抓取流量 (抓取感興趣流)

?[r2]acl 2000

[r2-acl-basic-2000]rule permit source 192.168.1.0 ?0.0.0.255

允許???????????????????? 感興趣的網(wǎng)段

3.接口調(diào)用NAT

[r2-GigabitEthernet0/0/2]nat outbound 2000 address-group 0 no-pat 不按照端口轉(zhuǎn)換的原則執(zhí)行

<r2>display nataddress-group??? 查看那些地址可以被使用

?NAPT—easy IP

數(shù)據(jù)包還會(huì)附加端口號(hào)

1.抓取流量

?[r2]display acl 2000

[r2-acl-basic-2000]rule permit source 192.168.1.0 ?0.0.0.255 （已經(jīng)配置過）

[r2-acl-basic-2000]rule permit source 192.168.3.0 ?0.0.0.255

Basic ACL 2000, 2 rules

Acl's step is 5

rule 5 permit source 192.168.1.0 0.0.0.255

rule 10 permit source 192.168.3.0 0.0.0.255

?2.接口配置NAT

[r2-GigabitEthernet0/0/2]nat outbound 2000

多對(duì)多的NAPT

動(dòng)態(tài)NAT：多對(duì)多的NAT

1.創(chuàng)建公網(wǎng)地址組—這些公網(wǎng)地址必須連續(xù)。

?[r2]nat address-group 0 23.0.0.3 23.0.0.5

2.抓取流量

?[r2-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255

3.接口調(diào)用NAT

[r2-GigabitEthernet0/0/2]nat outbound 2000 address-group 0

端口映射—高級(jí)用法

?[r2-GigabitEthernet0/0/2]nat server protocol tcp global 23.0.0.1 80 inside 192. 168.1.100 80

Error: The address conflicts with interface or ARP IP.

[r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 80 inside 192.168.1.100 80

?current-interface—直接使用該接口（使用這個(gè)接口的IP地址）

ACL—訪問控制列表

ACL的分類：

[r1]acl ?

? INTEGER<2000-2999>? Basic access-list(add to current using rules)

? INTEGER<3000-3999>? Advanced access-list(add to current using rules)

? INTEGER<4000-4999>? Specify a L2 acl group
?????? 基礎(chǔ)的ACL：僅關(guān)注數(shù)據(jù)包中的源IP地址 ????2000-2999

?????? 高級(jí)ACL：除了關(guān)注數(shù)據(jù)包中的源IP地址之外，還會(huì)關(guān)注數(shù)據(jù)包中的目標(biāo)IP，端口號(hào)等等。 3000-3999

?????? 用戶自定義的ACL：

配置

?ACL的調(diào)用：路由器的接口，并且ACL的調(diào)用需要區(qū)分流量的流向（流入或者流出）

配置基礎(chǔ)ACL?? ：

例一：

1.創(chuàng)建

?ACL [r1]acl 2000

2.給ACL列表寫規(guī)則

??? ??[r1-acl-basic-2000]rule deny source 192.168.1.3 0.0.0.0—相當(dāng)于拒絕192.168.1.3這一個(gè)IP

?????????????????????????????? 0.0.0.0—通配符（32位二進(jìn)制構(gòu)成）：0代表不可變，1代表可變

???? 192.168.1.3 0.255.0.255
???? 192.X.1.X

???????? [r1-acl-basic-2000]rule ?

???????? INTEGER<0-4294967294>? ID of ACL rule

?????? ??deny （拒絕）????????????????? Specify matched packet deny

?????? ??permit （允許）????????????? Specify matched packet permit

3.接口調(diào)用規(guī)則：

[r1-GigabitEthernet0/0/0]traffic-filter ??????? 需要注意流量的流向，IN—流入 OUT—— 流出

? inbound （流入）? Apply ACL to the inbound direction of the interface

? outbound（流出）? Apply ACL to the outbound direction of the interfa

[r1-GigabitEthernet0/0/0]traffic-filter? inbound acl 2000????? 接口調(diào)用ACL列表

[r1-GigabitEthernet0/0/0]display acl 2000??? 查找創(chuàng)建ACL

Basic ACL 2000, 1 rule

Acl's step is 5

?rule 5 deny source 192.168.1.3 0 ??????

例二：

注意：基礎(chǔ)ACL的配置位置，盡量靠近目標(biāo)?? 盡量避免誤傷

1.創(chuàng)建ACL

?[r2]acl 2000

2.給ACL列表寫規(guī)則

?[r2-acl-basic-2000]rule deny source 192.168.1.3 0.0.0.0

3.接口調(diào)用—注意調(diào)用位置

[r2GigabitEthernet0/0/0]traffic-filter? outbound acl 2000?

<r1>display acl 2000

Basic ACL 2000, 1 rule

Acl's step is 5

?rule 5 deny source 192.168.1.3 0

5—步長值（ACL列表默認(rèn)步長為5）

??? 另一方面，為了便于規(guī)則之間插入一些規(guī)則

??? ACL訪問控制列表的匹配原則:自上而下（步長由小到大，由上而下排列），逐一匹配，

??? 一旦匹配上則不在向下匹配

刪除規(guī)則：? [r2-acl-basic-2000]undo rule 10

配置高級(jí)ACL?? ：

例一：

高級(jí)ACL的調(diào)用位置盡量靠近源，避免資源的浪費(fèi)（同時(shí)因?yàn)楦呒?jí)ACL，即關(guān)注源也關(guān)注目標(biāo)，所以不會(huì)造成誤傷）

?[R1-acl-adv-3000]rule deny tcp source 192.168.1.3 0 destination 192.168.3.2 0.0. 0.0

拒絕源1.3 訪問3.2所以的TCP相關(guān)的服務(wù)?? ping傳輸層使用的為TCP協(xié)議

?destination?? 目標(biāo)???? source 源

?配置：?

?1.創(chuàng)建

[R1]acl 3000

2.寫規(guī)則

?[R1-acl-adv-3000]rule 10 deny icmp source 192.168.1.3 0 destination 192.168.3.2 0

?????????????????? ?????拒絕源192.168.1.3ping目標(biāo) 192.168.3.2的流量?? 更加準(zhǔn)確???? ping 使用的為協(xié)議icmp

?3.接口調(diào)用規(guī)則

[r1-GigabitEthernet0/0/1]traffic-filter inbound ??acl 3000???????

interface GigabitEthernet0/0/1

ip address 192.168.1.1 255.255.255.0

traffic-filter inbound acl 3000???? 注意一個(gè)接口的一個(gè)方向?qū)嶋H只能調(diào)用一張列表

[r2-GigabitEthernet0/0/1]undo traffic-filter outbound ---刪除接口的調(diào)用

例二：

配置

1.創(chuàng)建

?? [R2]acl? 3001

2.寫規(guī)則

?[R2-acl-adv-3001] rule 5 deny tcp source 192.168.2.1 0 destination 192.168.2.2 0 destination-port eq 23 （代表服務(wù)為Telent）

—拒絕源為192.168.2.1 目標(biāo)為192.168.2.2 并且訪問服務(wù)為Telent服務(wù)的流量

Telent使用的為tcp協(xié)議（訪問目標(biāo)端口號(hào)為23的流量）

3.在接口調(diào)用規(guī)則

[r2-GigabitEthernet0/0/0]traffic-filter inbound ??acl 3001