访问控制列表——ACL

话不多说,直接上内容,明天我想讲一下NAT,nat更有意思一点哈哈哈。

目录

一、ACL简介

ACL作用

访问控制列表的调用的方向:

访问控制列表的处理原则

访问控制列表类型:

ACL实验过程

第一部分:

第二部分:

总结


一、ACL简介

ACL作用

读取三层、四层的头部信息,根据预先定义好的规则对流量进行筛选、过滤。

三层头部信息:源ip和目标ip
四层头部信息:TCPUDP协议、源端口号和目标端口号

访问控制列表的调用的方向:

访问控制列表——ACL_第1张图片

入:流量将要进入本地路由器,将被本地路由器处理
出:已经被本地路由器处理过了,流量将离开本地路由器

策略做好后,在入接口调用和出接口调用的区别:

入接口调用的话,是对本地路由器生效
出接口调用的话,对本地路由器不生效,流量将在数据转发过程中的下一台路由器生效。

访问控制列表的处理原则

访问控制列表——ACL_第2张图片

1.路由条目只会被匹配一次.
2.路由条目在ACL访问控制列表中匹配的顺序是从上往下匹配
3. ACL访问控制列表隐含一个放行所有
4. ACL访问控制列表至少要放行一条路由条目

访问控制列表类型:

1、标准访问控制列表
只能基于源IP地址进行过滤
标准访问控制列表的列表号是2000-2999
调用原则:靠近目标
2.扩展访问控制列表
可以根据源、目标IP地址,TCP/UDP协议,源、目标端口号进行过滤
相比较标准访问控制列表,流量控制的更加精准。
拓展访问控制列表的列表号是3000-3999
调用原则:靠近源

ACL实验过程

第一部分:

用标准访问控制列表,vlan10客户机不能访问vlan20客户机

访问控制列表——ACL_第3张图片

 实验代码:

二层交换

[]vlan bat 10 20 //创建多个vlan
[]int e0/0/1 //进入接口e0/0/1 
[]port link-type access //设置接口链路类型为access	
[]port default vlan 10 //将接口e0/0/1 划分进vlan10
[]int e0/0/2 //进入接口e0/0/2
[]port link-type access //设置接口链路类型为access	
[]port default vlan 20 //将接口e0/0/2 划分进vlan20
[]int e0/0/3 //进入接口e0/0/3
[]port link-type access//设置接口链路类型为access	
[]port default vlan 10//将接口e0/0/3 划分进vlan10
[]int e0/0/4 //进入接口e0/0/4
[]port link-type access //设置接口链路类型为access	
[]port default vlan 20  //将接口e0/0/4 划分进vlan20
[]int g0/0/1 //进入接口g0/0/1	
[]port link-type trunk //设置接口链路类型为trunk		
[]port trunk allow-pass vlan all //设置白名单,通行所有vlan

路由1

[]int g0/0/0 //进入接口g0/0/0
[]undo shutdown //开启物理接口
[]int g0/0/0.1 //进入子接口g0/0/0.1
[]dot1q termination vid 10 //封装方式为802.1q,接口g0/0/0.1划分进vlan10
[]ip add 192.168.10.1 24 //设置IP地址及子网掩码长度	
[]arp broadcast enable //开启ARP广播功能
[]int g0/0/0.2//进入子接口g0/0/0.2	
[]dot1q termination vid 20 //封装方式为802.1q,接口g0/0/0.2划分进vlan20
[]ip add 192.168.20.1 24 //设置IP地址及子网掩码长度
[]arp broadcast enable //开启ARP广播功能

客户机设置

C1:192.168.10.10 255.255.255.0 192.168.10.1//配置ip,子网掩码和网关

C2:192.168.20.10 255.255.255.0 192.168.20.1//配置ip,子网掩码和网关

C3:192.168.10.20 255.255.255.0 192.168.10.1//配置ip,子网掩码和网关

C4:192.168.20.20 255.255.255.0 192.168.20.1//配置ip,子网掩码和网关

Ping通测试:此时client客户机之间相互都可以ping通测试一下,到这一步单臂路由实现了不同vlan间通信

client1:ping 192.168.20.10

client1:ping 192.168.10.20

client1:ping 192.168.20.20

client2:ping 192.168.10.20

client2:ping 192.168.20.20

client3:ping 192.168.20.20


再继续再R1上用ACL标准访问控制列表实现vlan10客户机不能访问vlan20客户机

[R1]acl 2000 //创建标准访问控制列表,列表号为2000
[R1-acl-basic-2000]rule deny source 192.168.10.0 0.0.0.255 //拒绝192.168.10.0网段的路由条目(子网掩码为反掩码)	 
[R1-acl-basic-2000]rule permit source any //放行其他路由条目
[R1]int g0/0/0.2 //进入子接口g0/0/0.2	
[R1-GigabitEthernet0/0/0.2]traffic-filter outbound acl 2000 //选择在子接口g0/0/0.2出接口上调用列表2000

测试:是否成功,如果不同,则成功

 client1:ping 192.168.20.10

client1:ping 192.168.20.20

client3:ping 192.168.20.20

第二部分:

用扩展访问控制列表,禁止client1客户机访问ftp服务器

访问控制列表——ACL_第4张图片

 二层交换

[]vlan bat 10 20 //创建多个vlan
[]int e0/0/1 //进入接口e0/0/1 
[]port link-type access //设置接口链路类型为access	
[]port default vlan 10 //将接口e0/0/1 划分进vlan10
[]int e0/0/2 //进入接口e0/0/2
[]port link-type access //设置接口链路类型为access	
[]port default vlan 20 //将接口e0/0/2 划分进vlan20
[]int e0/0/3 //进入接口e0/0/3
[]port link-type access//设置接口链路类型为access	
[]port default vlan 10//将接口e0/0/3 划分进vlan10
[]int e0/0/4 //进入接口e0/0/4
[]port link-type access //设置接口链路类型为access	
[]port default vlan 20  //将接口e0/0/4 划分进vlan20
[]int g0/0/1 //进入接口g0/0/1	
[]port link-type trunk //设置接口链路类型为trunk		
[]port trunk allow-pass vlan all //设置白名单,通行所有vlan

路由器1

[]int g0/0/0 //进入接口g0/0/0
[]undo shutdown //开启物理接口
[]int g0/0/0.1 //进入子接口g0/0/0.1
[]dot1q termination vid 10
 //封装方式为802.1q,接口g0/0/0.1划分进vlan10
[]ip add 192.168.10.1 24 //设置IP地址及子网掩码长度	
[]arp broadcast enable //开启ARP广播功能
[]int g0/0/0.2//进入子接口g0/0/0.2	
[]dot1q termination vid 20 
//封装方式为802.1q,接口g0/0/0.2划分进vlan20
[]ip add 192.168.20.1 24 //设置IP地址及子网掩码长度
[]arp broadcast enable //开启ARP广播功能
[]ip route-static 0.0.0.0 24 12.1.1.2 
//配置默认路由下一跳入接口12.1.1.2

路由器2

[]int g0/0/0 //进入接口 g0/0/0 
[]ip add 12.1.1.2 24 //设置IP地址及子网掩码长度
[]un shut//开启接口
[]int g0/0/1 //进入接口 g0/0/1 
[]un shut//开启接口
[]ip add 202.10.100.2 24 //设置IP地址及子网掩码长度 	
[]ip route-static 0.0.0.0 0 12.1.1.1 //设置默认路由,下一跳入接口12.1.1.1

PC配置与标准访问控制列表一样

ftp服务器配置:

访问控制列表——ACL_第5张图片

端口号21,选择一个文件用于上传下载,设置后点击启动 访问控制列表——ACL_第6张图片

 ping测试:

client1:ping 202.10.10.100

client2:ping 202.10.10.100

client3:ping 202.10.10.100

client4:ping 202.10.10.100

路由器1

[]acl 3000//创建扩展访问列表,列表号3000
[]rule deny tcp source 192.168.10.10 0.0.0.0 destination 202.10.10.100 0.0.0.0 destination-port eq 21
//禁止client访问ftp服务器    
[]rule permit tcp source any destination any destination-port eq 21
//放行其他客户机访问ftp服务器
[]rule permit ip source any destination any //放行其他客户机网络流量
[]int g0/0/0.1 //进入接口g0/0/0.1    
[]traffic-filter inbound acl 3000 //选择在入接口上调用列表3000
9.此时在让client1去ping服务器,是ping不通的,也不可以上传和下载文件

此时在让client1去ping服务器,是ping不通的,也不可以上传和下载文件

client1:ping   202.10.10.100

总结

本次内容不多,但是实验比较复杂,主要还是对于ACL的理解比较的重要,实验多做几遍有问题跟我留言。

你可能感兴趣的:(云计算,5G,网络,tcp/ip,udp,java,网络,网络传输)