--ACL

目录

ACL

ACL----访问控制列表(access control list)

ACL分类

实验

全网可达,pc自动获取ip地址

 测试

 pc1不能ping通pc6  但是可以ping通pc5

这是调用acl前     254为pc5  253为pc6

 创建acl

书写规则

在流量进或出的接口上调用

测试 

 R1不能ping通R3但是可以远程登陆R3

在R3上开启远程登陆

 书写ACL 并调用

 测试

 pc2不能ping通pc3,但是pc3可以ping通pc2

修改前  可互相ping通

 书写 调用

测试


ACL

ACL - - - 访问控制列表(access control list)

1、访问控制

在路由器流量进或出的接口上规则流量

规则:允许 permit         拒绝 deny

匹配规则:从上到下依次匹配,一旦匹配便不再往下查询,末尾隐藏允许所有

华为设备中:ACL匹配数据包时,默认隐藏允许所有;ACL匹配路由时,末尾隐藏拒绝所有

思科:末尾隐藏拒绝所有

2、定义感兴趣流量

acl是防火墙的一种

包过滤防火墙- - -过滤数据包

源IP 目的IP 源端口 目的端口 协议号 ---数据包的五元组

ACL分类

基本(标准)ACL    2000-2999

只关注源IP地址,越靠近目标越好

扩展(高级)ACL    3000-3999

关注源IP 目的IP 源端口 目的端口 协议号

实验

--ACL_第1张图片

要求:

1 . 全网可达
2 . 协议自定 、 地址自定
3 . 所有pc自动获取地址
4 ·  pc1不能ping通pc6  但是可以ping通pc5
5 .  R1不能ping通R3但是可以远程登陆R3
6 .  pc2不能ping通pc3,但是pc3可以ping通pc2

要全网可达的同时让所有pc自动获取IP地址

我们需要分别给R1 R2 R3书写DHCP并且在R1 R2 R3之间配置IP地址(12.1.1.0    23.1.1.0) 然后启协议 让他们拥有各自的路由条目,下面演示的过程使用RIP 2协议

路由连接交换机的端口也要配置IP地址 (勿忘 排错很痛苦)

第四 ,第五,第六 的条件都可以通过ACL完成

实现全网可达,pc自动获取ip地址

R1

创建IP池子  

--ACL_第2张图片

--ACL_第3张图片

启动rip协议   (再强调  给路由和交换机连接的端口配地址)

--ACL_第4张图片

 R2

--ACL_第5张图片

 --ACL_第6张图片

--ACL_第7张图片

 R3

--ACL_第8张图片

 --ACL_第9张图片

 测试

pc1

--ACL_第10张图片

 pc3

--ACL_第11张图片

pc5

--ACL_第12张图片

 pc1不能ping通pc6  但是可以ping通pc5

这是调用acl前     254为pc5  253为pc6

--ACL_第13张图片

 创建acl

书写规则

在流量进或出的接口上调用

测试 

--ACL_第14张图片

 R1不能ping通R3但是可以远程登陆R3

在R3上开启远程登陆

--ACL_第15张图片

可以看出 此时是可以登陆的

 --ACL_第16张图片

 书写ACL 并调用

 

 测试

能ping通

--ACL_第17张图片

 远程登录失败    书写调用成功

 pc2不能ping通pc3,但是pc3可以ping通pc2

修改前  可互相ping通

--ACL_第18张图片

 书写 调用

 

测试

成功 此时 3可ping通 2

2 无法ping通 3

--ACL_第19张图片

你可能感兴趣的:(网络,网络协议)