ACL访问控制列表

一、概览

1、访问控制列表(ACL)

读取第三层、第四层包头信息
根据预先定义好的规则对包进行过滤

2、访问控制列表在接口应用的方向

出：已经过路由器的处理，正离开路由器接口的数据包，本机无效
入：已到达路由器接口的数据包，将被路由器处理，本机生效

3、ACL分类

1、标准访问控制列表

• 基于源IP地址过滤数据包
• 标准访问控制列表的访问控制列表号是2000~ 2999

2、扩展访问控制列表

• 基于源IP地址、目的IP地址、指定协议、端口和标志来过滤数据包
• 扩展访问控制列表的访问控制列表号是3000~3999

3、命名访问控制列表

• 命名访问控制列表允许在标准和扩展访问控制列表中使用名称代替表号

二、实验步骤

1、实验拓扑图

1、全网互通

2、用ACL标准列表禁止vlan10和vlan20通信

3、用ACL扩展列表禁止AR1访问ftp服务

2、实验步骤

案例1、全网互通

SW1配置

sys

sysname SW1

vlan batch 10 20

int e0/0/1

port link-type access

port default vlan 10

int e0/0/2

port link-type access

port default vlan 20

int e0/0/3

port link-type access

port default vlan 10

int e0/0/4

port link-type access

port default vlan 20

int g0/0/1

port link-type trunk

port trunk allow-pass vlan all

R1配置

sys

sysname R1

int g0/0/1

ip add 12.1.1.2 24

int g0/0/0.10

dot1q termination vid 10

ip address 192.168.10.1 255.255.255.0 

arp broadcast enable

int g0/0/0.20

dot1q termination vid 20

ip address 192.168.20.1 255.255.255.0 

arp broadcast enable

q

ip route-static 0.0.0.0 0.0.0.0 12.1.1.1

R2配置

int g0/0/0

ip address 12.1.1.1 255.255.255.0 

int g0/0/1

ip address 202.10.100.1 255.255.255.0 

q

ip route-static 192.168.10.0 255.255.255.0 12.1.1.2
ip route-static 192.168.20.0 255.255.255.0 12.1.1.2

Server1配置

测试全网互通

PC1拼PC3通过

PC1拼PC2通过

PC1拼PC4通过

PC1拼Server1通过

案例2、用ACL标准列表禁止vlan10和vlan20通信

R1配置

acl 2000  

rule deny source 192.168.10.0 0.0.0.255 

rule permit source any

q

int g0/0/0.20

traffic-filter outbound acl 2000

测试vlan10和vlan20不能通

PC1拼PC2不通

PC1拼PC4不通

PC1拼PC3通过

PC1拼Server1通过

案例3、用ACL扩展列表禁止AR1访问ftp服务

Server1开启ftp服务

R1测试下ftp服务可用

ftp 202.10.100.100

ftp

回车 ##匿名用户不需要输入密码

ls ##查看服务器上的文件目录

R2配置

acl 3000

rule deny tcp source 12.1.1.2 0 destination 202.10.100.100 0 destination-port eq 21

rule deny tcp source 12.1.1.2 0 destination 202.10.100.100 0 destination-port eq 20

rule permit ip source any destination any

int g0/0/0

traffic-filter inbound acl 3000

测试ftp不可用