ACL原理与配置
实验环境
实验思路
- 使用eNPS建立拓扑结构。
- 设置交换机基本配置
- 搭建ospf网络,并检测连通性
- 配置Telnet相关配置
- 配置基本ACL控制访问
- 配置高级ACL控制访问
具体实施
- 使用eNPS建立拓扑结构。
- 将放置的AR1、AR2和AR3连接。
- 框选路由器后全部开启。
- 连接线处显示绿色信号灯,表示全部开启
- 设置交换机基本配置
AR1:
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip add 10.1.1.1 24
AR2:
[AR2]int g0/0/0
[AR2-GigabitEthernet0/0/0]ip add 10.1.1.2 24
[AR2-GigabitEthernet0/0/0]int g0/0/1
[AR2-GigabitEthernet0/0/1]ip add 10.1.2.2 24
AR3:
[AR3]int g0/0/0
[AR3-GigabitEthernet0/0/0]ip add 10.1.2.1 24
[AR3-GigabitEthernet0/0/0]int loo 1
[AR3-LoopBack1]ip add 10.1.3.1 24
- 搭建ospf网络,并检测连通性
AR1:
[AR1]ospf
[AR1-ospf-1]area 0
[AR1-ospf-1-area-0.0.0.0]network 10.1.1.1 0.0.0.0
AR2:
[AR2]ospf
[AR2-ospf-1]area 0
[AR2-ospf-1-area-0.0.0.0]network 10.1.1.2 0.0.0.0
[AR2-ospf-1-area-0.0.0.0]network 10.1.2.2 0.0.0.0
AR3:
[AR3]ospf
[AR3-ospf-1]area 0
[AR3-ospf-1-area-0.0.0.0]network 10.1.2.1 0.0.0.0
[AR3-ospf-1-area-0.0.0.0]network 10.1.3.1 0.0.0.0
用AR1pingAR3环回口:
这时证明可以连通。
- 搭建Telnet
R3上配置Telnet相关配置,配置用户密码为zhangzhuoyu
AR3:
[AR3]user-interface vty 0 4
[AR3-ui-vty0-4]authentication-mode password
Please configure the login password (maximum length 16):zhangzhuoyu
[AR3-ui-vty0-4]user privilege level 3
配置完成后,尝试在IT部门网关设备R1上建立Telnet连接。
AR1:
从AR1可以成功登录AR3.
- 配置基本ACL控制访问
接下来在ACL视图中,使用rule命令配置ACL规则,拒绝数据包源地址为10.1.1.1的报文通过,反掩码为全0 , 即精确匹配。
AR3:
[AR3]acl 2000
[AR3-acl-basic-2000]rule deny source 10.1.1.1 0
[AR3]int g 0/0/0
[AR3-GigabitEthernet0/0/0]traffic-filter inbound acl 2000
配置完成后,使用R1测试访问10.1.3.1的连通性。
可以观察到,此时R1已经无法访问,即上述ACL配置己经生效。
- 配置高级ACL控制访问
同上的环境下,我们设置高级的ACL控制
AR3:
[AR3]acl 3000
[AR3-acl-adv-3000]rule deny icmp source 10.1.1.1 0 destination 10.1.3.1 0
[AR3]int g0/0/0
[AR3-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
配置完成后,使用R1测试访问10.1.3.1的连通性。
可以看出,此时不能ping通,但是可以连接到telnet,说明高级acl访问控制生效
个人总结
- 什么是ACL
ACL是由一系列permit或deny语句组成的、有序规则的列表。ACL是一个匹配工具,能够对报文进行匹配和区分。它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。
- ACL常用命令
1、acl number 2000:创建acl 2000
2、rule 5 deny source 10.1.1.1 0:拒绝源地址为192.168.10.1的流量,0代表仅此一台,5是这条规则的序号(可不加)
3、traffic-filter outbound acl 2000:接口出方向调用acl2000, outbound代表出方向,inbound代表进入方向
4、rule permit source 10.1.1.1 0.0.0.0:permit代表允许,source代表来源,0.0.0.0为通配符
5、acl nmuber 3000:拒绝tcp为高级控制,所以3000起
6、rule deny icmp source 10.1.1.1 0.0.0.0 destination 10.1.3.1:拒绝Ping