ACL访问控制列表理论+实验

文章目录

  • 前言
  • 第一部分:ACL理论知识
    • 1.ACL如何定义规则
    • 2.访问控制列表在接口应用的方向
    • 3.访问控制列表的处理数据包过程
    • 4.两种访问控制列表
  • 第二部分:ACL实验

前言

访问控制列表(Access Control List,简称ACL)是根据报文字段对报文进行过滤的一种安全技术。访问控制列表通过过滤报文达到流量控制、攻击防范以及用户接入控制等功能,在现实中应用广泛。ACL根据功能的不同分为标准ACL和扩展ACL。标准ACL只能过滤报文的源IP地址;扩展ACL可以过滤源IP、目的IP、协议类型、端口号等。ACL的配置主要分为两个步骤:(1)根据需求编写ACL;(2)将ACL应用到路由器接口的某个方向。

第一部分:ACL理论知识

1.ACL如何定义规则

●读取第三层(ICMP、IP)、第四层(TCP、UDP)包头信息
●访问控制列表利用四个元素定义规则:
第三层:源地址、目标地址
第四层:源端口、目标端口

2.访问控制列表在接口应用的方向

●入接口:已到达路由器接口的数据包,将被路由器处理(对本机生效)
●出接口:已经过路由器的处理,正离开路由器接口的数据包(对本机无效)
ACL访问控制列表理论+实验_第1张图片

3.访问控制列表的处理数据包过程

顺序匹配执行;隐含的拒绝所有
至少permit一条,否则ACL没有意义

4.两种访问控制列表

●标准访问控制列表:
基于源IP地址过滤数据包
标准访问控制列表的访问控制列表号是2000-2999
●扩展访问控制列表:
基于源IP地址、目的IP地址、指定协议、端口和标志来过滤数据包
扩展访问控制列表的访问控制列表号是3000-3999

第二部分:ACL实验

需求:
1.全网互通
2.用ACL标准列表禁止vlan10和vlan20通信
3.用ACL扩展列表禁止AR1访问ftp访问器
ACL访问控制列表理论+实验_第2张图片

1.实现全网互通
二层交换机:
连接4台PC用access,向上到路由器配置trunk

路由器R1配置:
ACL访问控制列表理论+实验_第3张图片

路由器R2配置:
ACL访问控制列表理论+实验_第4张图片

现在已经实现了全网互通。
ACL访问控制列表理论+实验_第5张图片

2.用ACL标准列表禁止vlan10和vlan20通信
写列表:
ACL访问控制列表理论+实验_第6张图片

靠近目标处接口(出)调用列表:
ACL访问控制列表理论+实验_第7张图片

现在vlan10和vlan20无法通信
ACL访问控制列表理论+实验_第8张图片

3.用ACL扩展列表禁止AR1访问ftp访问器
开启服务器中的ftp配置,现在R1中可以访问ftp服务器
ACL访问控制列表理论+实验_第9张图片

在R2上配置ACL
ACL访问控制列表理论+实验_第10张图片

接口(入)下调用
ACL访问控制列表理论+实验_第11张图片

这时R1无法访问ftp服务器
ACL访问控制列表理论+实验_第12张图片

你可能感兴趣的:(网络基础知识集锦,华为eNSP网络实验)