ACL实验

1.定义

ACL:access control list 访问控制列表

2.功能

匹配感兴趣流,对其放行或者丢弃

编号ACL

编号ACL又分为标准ACL和扩展ACL:

标准ACL

查看的是IP包头
①只匹配源IP地址
②允许或者拒绝的是整个TCP/IP协议,对于源IP地址,所有流量都被拒绝掉了

标准ACL的编号:
1-99,1300-1999
格式:
access-list 1 deny x.x.x.x 反掩码
access-list 1 permit any //需要加这句话,因为最后隐藏这deny any

调用:
进接口,ip access-group 1 in/out

ACL实验_第1张图片
以上为实验拓扑图,R123均配置OSPF,R1可ping通3

在R2上配置ACL,在f0/0口调用
ACL实验_第2张图片
然后我们发现1和2之间的OSPF直接DOWN掉了
在这里插入图片描述

咦?为什么OSPF邻居直接DOWN掉了?从R1查看时发现Stata(状态)直接变为INIT初始化
因为因标准ACL是IP ACL,所以查看的是IP包头,允许或者拒绝的是整个TCP/IP协议,对于源IP地址,所有流量都被拒绝掉了,包括OSPF,所以你的路由直接没有了,邻居直接停在INIT状态
在这里插入图片描述
此时R1 PING不通3咯,也PING不通2

扩展ACL

1.配源IP,目的IP,源端口,目的端口
2.允许或者拒绝的是特定协议(icmp tcp) ,也就是说可以精确到一个小的协议

我们将调用直接NO掉,然后配置扩展ACL:
ACL实验_第3张图片
这条ACL语句的意思是,拒绝掉从1.1.1.0发送给3.3.3.0的icmp流量

ACL实验_第4张图片
然后就可以看见,带源ping直接ping不通啦~

ACL实验_第5张图片
但是直接ping是能通的哦,因为它匹配到的是第二条语句 permit ip any any
ACL实验_第6张图片
Telnet也能成功呀!因为它也是匹配到permit ip any any,它不会像标准ACL一样直接把整个IP流量都拒绝掉,而是可以精确匹配到一个小的协议。

命名ACL

命名ACL相对于编号ACL的特点:管理方便
能任意增加,删除或者修改特定语句

命名ACL同样分为标准和扩展

1.命名标准ACL

语句:
Ip access-list standard 名字
10 permit x.x.x.x
20 deny x.x.x.x

2.命名扩展ACL

语句:
Ip access-list extended 名字
10 permit tcp x.x.x.x y.y.y.y eq telnet
20 deny udp x.x.x.x y.y.y.y eq 520

在这里插入图片描述
我们可以直接创建一个extended列表
在这里插入图片描述
可以很方便地插入语句

命名ACL调用语句和编号ACL是一样的

ACL规则

1.编号ACL无法删除特定条目,只能删除整个ACL,命名ACL可以很方便的修改
2.ACL只能过滤通过路由器的流量,不能过滤自己产生的流量
3,ACL最后都有一句 deny any /deny ip any any ,所以需要加入permit any/ permit ip any any
4.一个接口只能有一个访问列表
5.流量从上到下进行匹配,找到匹配源直接执行,不再查看剩下的条目
6.一般越详细的语句放越前面

That’s all,3Q~

你可能感兴趣的:(ACL实验)