通过vlan,我们划分了广播域
通过单臂路由和三层交换机,我们实现了不同vlan之间的通信
ACL访问控制列表(Access Control List)
1、用来对数据包做访问控制(丢弃或通行)
2、结合其他协议(例:传输层的tcp、udp),ACL可以控制协议的流量能否通过
acl的作用
访问控制,决定流量能否通过,通过=放行;不通过=丢弃
主要配置在路由器上
ACL概述
1、acl可以配置多条策略
2、根据报文来进行匹配和区分
ACL组成编号默认从5开始,步长也为5
2000~2999为基本acl,只能匹配源IP地址
3000~3999为高级acl,可以匹配源IP地址、目标IP、源端口号、目标端口、三层(icmp)和四层(tcp、udp)的协议字段
4000~4999,根据数据包的源mac地址、目的mac地址,802.lq优先级、二层协议
基本acl,尽量用在靠近目的端口
例:
规则 允许 源 地址 写死
rule permit source 192.168.1.10 0
高级acl,尽量用在靠近源地址的地方,保护带宽(涉及协议的必须用高级acl,例:ping,http等)
例:
规则 允许 协议 源 地址 子网掩码
rule permit ip source 192.168.1.0 0.0.0.255
多条策略的匹配原则:
1、有则匹配,无则放行
2、匹配到第一条之后,后序相同的将不再进行匹配
一个接口只能配置一个acl,配置其他acl时必须先删除旧的
反掩码通配符:“0”表示严格匹配(不变),“1”表示随机分配(可变)
0.0.0.0 为固定IP地址
0.0.0.255 为固定网段
例:
192.168.233.0/24 20 22 23 24的反掩码
00000000.00000000.00000000.00010100
00000000.00000000.00000000.00010110
00000000.00000000.00000000.00010111
00000000.00000000.00000000.00011000
00000000.00000000.00000000.00001111=15
0.0.0.15
实验
一、仅允许PC1访问1921668.2.0/24网络(即仅允许PC1访问PC 3)
1.1添加设备,连接并启动
1.2 配置端口的网关地址,
创建基本acl 2000,按根据设置acl2000,
先允许指定的源地址通行,再拒绝所有源地址通行并配置给端口g0/0/0
1.3配置完成后,分别用PC1和PC2 ping PC3,
可以看到PC1成功,PC2超时,说明配置成功!
二、禁止192.168.1.0/24网段 ping Web服务器
2.1 创建高级acl 3000,按需求设置acl 3000
拒绝指定网段访问192.168.3.30,然后把acl 3000配置给端口g0/0/2
2.2 分别用PC1和Client ping Web服务器,
访问失败,说明配置成功
三、仅允许Client访问Web服务器的www服务
3.1 创建高级acl 3001,按要求配置 acl3001 ,
允许tcp协议的指定源地址访问192.168.3.30,然后将acl 3000配置给端口g0/0/1
3.2 通过http进行通信并对端口g0/0/1进行抓包
4573
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
