HCIA-流量管理方案

目录

ACL访问控制列表

ACL分类:

ACL的工作原理:

ACL的组成:

 规则编号:

通配符

ACL的匹配机制

ACL的匹配位置

 基本ACL的部署与配置

 基本ACL的配置命令

基本ACL案列

高级ACL

高级ACL的创建命令

 高级ACL案例


ACL访问控制列表

ACL分类:

基本ACL(2000-2999):值抓取源IP

高级ACL(3000-3999):可以匹配源目IP,IP协议类型,ICMP类型,TCP源/目的端口号,UDP源/目的端口号,生效时间等。

ACL的工作原理:

ACL的组成:

ACL是由若干歌permit 和 deny 语句组成,每条语句对应一条规则,每个规则有有一个规则号,不同的规则对应不同的动作。

HCIA-流量管理方案_第1张图片

 规则编号:

对于每一条规则都有一个规则编号,相邻规则之间需要设置规则一定的步长,用来后续在这些规则之间添加其他的规则。

HCIA-流量管理方案_第2张图片

通配符

每条规则后面都有一个通配符,0表示严格匹配,1表示任意匹配,如10.1.1.0 通配符是0.0.0.255,则这条队则的前24位严格匹配,必需和10.1.1完全匹配。

HCIA-流量管理方案_第3张图片 

ACL的匹配机制

HCIA-流量管理方案_第4张图片

ACL的匹配位置

ACL处理时处理的是数据,而数据是由方向的,所有ACL也是有方向的,在inbound方向,ACL运行或者拒绝进入,在outbound方向,ACL允许拒绝出去。

HCIA-流量管理方案_第5张图片 

HCIA-流量管理方案_第6张图片 

 基本ACL的部署与配置

基本ACL的匹配特点:只能匹配数据包中的IP地址。

基本ACL的匹配位置:基本ACL只能对IP地址做控制,所以基本ACL的匹配位置应该在距离目标IP最近的位置。

HCIA-流量管理方案_第7张图片

 基本ACL的配置命令

1,创建ACL

acl acl号  //基本ACl范围2000-2999

2,配置ACL规则

rule 规则号 [premit | deny] source IP地址

基本ACL案列

网络拓扑:

HCIA-流量管理方案_第8张图片

 1,配置IP地址

在交换上上创建vlan

vlan batch 10 20 30

inter gi0/0/1
port link-type access
port default vlan 10
quit

inter gi0/0/2
port link-type access
port default vlan 20
quit

inter gi0/0/3
port link-type access
port default vlan 30
quit

配置vlan的网关

interface vlanif 10
ip address 192.168.1.254
quit

interface vlanif 20
ip address 192.168.2.254
quit

interface vlanif 30
ip address 192.168.3.2
quit

服务器配置网关和Ip地址

配置路由器接口的IP地址

inter gi0/0/0 
ip address 192.168.3.1
quit

inter gi0/0/1
ip address 10.1.1.2
quit

在交换机上配置到路由器的静态路由

ip route-static 0.0.0.0 0 192.168.3.1

在路由器配置到交换机的静态路由

ip route-static 192.168.0.0 16 10.1.1.1

在路由器的上配置ACL

acl 2000
rule 10 deny source 192.168.1.0 0.0.0.255
rule 20 permit source any
quit

在PC1到服务器方向上,路由器的入接口启动ACL

inter gi0/0/0
traffic-filter inbound acl 2000
quit

高级ACL

高级ACL匹配数据包:可以匹配源目IP,IP协议类型,ICMP类型,TCP源/目的端口号,UDP源/目的端口号,生效时间等。

HCIA-流量管理方案_第9张图片

高级ACL的调用位置

建议在距离源设备近的接口上,可以将不符合规则的数据过滤掉

高级ACL的创建命令

acl acl号  //3000~3999范围内的
acl name aclname

 配置规则HCIA-流量管理方案_第10张图片

 高级ACL案例

网络拓扑:

HCIA-流量管理方案_第11张图片

 1, 在路由器的接口1和2上配置网关

inter gi0/0/1 
ip address 10.1.1.1 24
quit

inter gi0/0/2 
ip address 10.1.2.1 24
quit

2,创建高级ACL

acl 3001
rule 10 deny ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
rule 15 deny ip source any destination any

acl 3002
rule 10 deny ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
rule 15 deny ip source any destination any

3,在靠近源主机的一段做ALC

inter gi0/0/1
traffic-filter acl 3001
quit

inter gi0/0/2
traffic-filter acl 3002
quit

4,此时主机12之间无法进行通信

你可能感兴趣的:(网络,tcp/ip,udp)