实验原理
1、ACL 访问控制列表 access-list
ACL 定义了一组规则,用于对进入入站接口的数据包、通过路由器中继的数据包,以及从路由器出站接口输出的数据包施加额外的控制。
数据包过滤有时也称为静态数据包过滤,通过分析传入和传出的数据包并根据给定的条件传递或丢弃数据包,从而控制网络访问,例如源 IP 地址、目的 IP 地址和数据包内传输的协议等。
当路由器根据过滤规则转发或拒绝数据包时,它便充当了一种数据包过滤器。
ACL 是一系列 permit 或 deny 语句组成的顺序列表,称为访问控制条目 (ACE)。
ACL 的最后一条语句都是隐式拒绝语句。
2、标准 ACL 与 扩展ACL
标准ACL仅根据源地址过滤IP数据包
扩展ACL可根据多种属性过滤IP数据包
源地址与目的地址
源及目的的TCP与UDP端口,各种应用服务的TCP/UDP端口见策略举例附表
协议类型(如 IP、TCP、UDP、ICMP、HTTP、FTP等)
3、ACL实施原则及常用策略举例
对于HTTP、DNS、Telnet、SSH等服务应该明了其TCP、UDP的端口;
标准ACL靠近目的地址,扩展ACL尽量靠近源地址;
对于实施路由器或者防火墙,在某个接口实施,数据包对于该接口是迎面而来用in,离我而去用out;
对于一个网络要用网络号加通配符掩码,对于一台主机用host加ip地址.
实验步骤
路由配置:R1配置
R2配置
HTTP协议的控制
FTP协议控制
ICMP中的Echo和Echo-reply
验收配置结果
show access-lists
ISA 访问web 172.16.0.10
ftp 172.16.0.11
Laptop ping FTP服务器
FTP服务器ping pc1 可以通 ping Laptop 不能通
这样就完成实验啦!!!💪💪(๑•̀ㅂ•́)و✧