一、ACL-訪問(wèn)控制列表

作用:讀取三層、四層頭部信息,根據(jù)預(yù)先定義好的規(guī)則對(duì)流量進(jìn)行篩選、過(guò)濾。

三層頭部信息:源、目IP

四層頭部信息:源、目端口號(hào)、TCP/UDP協(xié)議

訪問(wèn)控制列表的調(diào)用的方向

入:流量將要進(jìn)入本地路由器,將被本地路由器處理

出:已經(jīng)被本地路由器處理過(guò)了,流量將離開(kāi)本地路由器

策略做好后,在入接口調(diào)用和出接口調(diào)用的區(qū)別:入接口調(diào)用的話,是對(duì)本地路由器生效出接口調(diào)用的話,對(duì)本地路由器不生效,流量將在數(shù)據(jù)轉(zhuǎn)發(fā)過(guò)程中的下一臺(tái)路由器生效。

二、訪問(wèn)控制列表的處理原則

1.路由條目只會(huì)被匹配一次

2.路由條目在ACL訪問(wèn)控制列表中匹配的順序是從上往下匹配

3.ACL訪問(wèn)控制列表隱含一個(gè)拒絕所有4ACL訪問(wèn)控制列表至少要放行一條路由條目

三、訪問(wèn)控制列表類(lèi)型

1.標(biāo)準(zhǔn)訪問(wèn)控制列表只能基于源IP地址進(jìn)行過(guò)濾

標(biāo)準(zhǔn)訪問(wèn)控制列表的列表號(hào)是2000-2999調(diào)用原則:靠近目標(biāo)

2.擴(kuò)展訪問(wèn)控制列表可以根據(jù)源、目IP地址,TCP/UDP協(xié)議,源、目端口號(hào)進(jìn)行過(guò)濾相比較標(biāo)準(zhǔn)訪問(wèn)控制列表,流量控制的更加精準(zhǔn)

擴(kuò)展訪問(wèn)控制列表的列表號(hào)是3000-3999調(diào)用原則:靠近源

AR路由器上的單臂路由命令

[]int g0/0/0

undo shut

[]int g0/0/0.1

dotlg termination vid 10 封裝方式為802.1q,g0/0/0.1劃分進(jìn)vlan10

ip add 192.168.10.124/設(shè)置IP和掩碼長(zhǎng)度

arp broadcast enable//開(kāi)啟ARP廣播功能

[]intg0/0/0.2dotlg termination vid 20

ip add192.168.20.1 24

arp broadcast enable

標(biāo)準(zhǔn)訪問(wèn)控制列表acl 2000創(chuàng)建標(biāo)準(zhǔn)訪問(wèn)控制列表,列表號(hào)為2000

rule deny
source192.168.10.0.0.0.0.255拒絕192.168.10.0網(wǎng)段(子網(wǎng)掩碼為反掩碼rule permit source any放行其他路由條目默認(rèn)ACL的每條語(yǔ)句的行號(hào)間隔5接口調(diào)用列表

int g0/0/0.2

outbound--出接口

inbound--入接口

traffic- filter outbound/ inbound acl 2000選擇在出/入接口上調(diào)用列表2000擴(kuò)展訪問(wèn)控制列表

acl number 3000

rule deny tcp source 192. 168.10.10 0.0.0.0

destination 202. 10. 100. 100 0.0.0.0 destination-port eq 21/ftp//禁止PC1訪問(wèn)FTP服務(wù)

rule permit tcp destination- port eq ftp/放行其他客戶(hù)機(jī)訪問(wèn)FTP服務(wù)

rule permit ip//放行其他客戶(hù)機(jī)的網(wǎng)絡(luò)流量

int g0/0/0.1traffic-filter inbond acl 3000

四、實(shí)際操作

拓?fù)鋱D

第一步實(shí)現(xiàn)全網(wǎng)互通

二層交換機(jī)

第一臺(tái)路由器

第二臺(tái)路由器

先ping一下是可以ping通的

客戶(hù)端這里也是可以上傳和下載的

第二步擴(kuò)展訪問(wèn)列表

測(cè)試vlan10是否還能連接服務(wù)器

 總結(jié)：ACL配置的時(shí)候需要首先全網(wǎng)互通，互通以后再操作ACL策略的設(shè)置