--ACL

目录

ACL

ACL----访问控制列表（access control list）

ACL分类

实验

全网可达，pc自动获取ip地址

 测试

 pc1不能ping通pc6  但是可以ping通pc5

这是调用acl前     254为pc5  253为pc6

 创建acl

书写规则

在流量进或出的接口上调用

测试 

 R1不能ping通R3但是可以远程登陆R3

在R3上开启远程登陆

 书写ACL 并调用

 测试

 pc2不能ping通pc3，但是pc3可以ping通pc2

修改前  可互相ping通

 书写 调用

测试

---

ACL

ACL - - - 访问控制列表（access control list）

1、访问控制

在路由器流量进或出的接口上规则流量

规则：允许 permit         拒绝 deny

匹配规则：从上到下依次匹配，一旦匹配便不再往下查询，末尾隐藏允许所有

华为设备中：ACL匹配数据包时，默认隐藏允许所有；ACL匹配路由时，末尾隐藏拒绝所有

思科：末尾隐藏拒绝所有

2、定义感兴趣流量

acl是防火墙的一种

包过滤防火墙- - -过滤数据包

源IP 目的IP 源端口 目的端口 协议号 ---数据包的五元组

ACL分类

基本（标准）ACL    2000-2999

只关注源IP地址，越靠近目标越好

扩展（高级）ACL    3000-3999

关注源IP 目的IP 源端口 目的端口 协议号

实验

要求：

1 ． 全网可达
2 ． 协议自定 、 地址自定
3 ． 所有pc自动获取地址
4 ·  pc1不能ping通pc6  但是可以ping通pc5
5 .  R1不能ping通R3但是可以远程登陆R3
6 .  pc2不能ping通pc3，但是pc3可以ping通pc2

要全网可达的同时让所有pc自动获取IP地址

我们需要分别给R1 R2 R3书写DHCP并且在R1 R2 R3之间配置IP地址（12.1.1.0    23.1.1.0） 然后启协议 让他们拥有各自的路由条目，下面演示的过程使用RIP 2协议

路由连接交换机的端口也要配置IP地址 （勿忘 排错很痛苦）

第四 ，第五，第六 的条件都可以通过ACL完成

实现全网可达，pc自动获取ip地址

R1

创建IP池子  

启动rip协议   （再强调  给路由和交换机连接的端口配地址）

 R2

 

 R3

 

 测试

pc1

 pc3

pc5

 pc1不能ping通pc6  但是可以ping通pc5

这是调用acl前     254为pc5  253为pc6

 创建acl

书写规则

在流量进或出的接口上调用

测试 

 R1不能ping通R3但是可以远程登陆R3

在R3上开启远程登陆

可以看出 此时是可以登陆的

 

 书写ACL 并调用

 

 测试

能ping通

 远程登录失败    书写调用成功

 pc2不能ping通pc3，但是pc3可以ping通pc2

修改前  可互相ping通

 书写 调用

 

测试

成功 此时 3可ping通 2

2 无法ping通 3