目录
ACL----访问控制列表(access control list)
ACL
ACL - - - 访问控制列表(access control list)
1、访问控制
在路由器流量进或出的接口上规则流量
规则:允许 permit 拒绝 deny
匹配规则:从上到下依次匹配,一旦匹配便不再往下查询,末尾隐藏允许所有
华为设备中:ACL匹配数据包时,默认隐藏允许所有;ACL匹配路由时,末尾隐藏拒绝所有
思科:末尾隐藏拒绝所有
2、定义感兴趣流量
acl是防火墙的一种
包过滤防火墙- - -过滤数据包
源IP 目的IP 源端口 目的端口 协议号 ---数据包的五元组
ACL分类
基本(标准)ACL 2000-2999
只关注源IP地址,越靠近目标越好
扩展(高级)ACL 3000-3999
关注源IP 目的IP 源端口 目的端口 协议号
实验
要求:
1 . 全网可达
2 . 协议自定 、 地址自定
3 . 所有pc自动获取地址
4 · pc1不能ping通pc6 但是可以ping通pc5
5 . R1不能ping通R3但是可以远程登陆R3
6 . pc2不能ping通pc3,但是pc3可以ping通pc2
要全网可达的同时让所有pc自动获取IP地址
我们需要分别给R1 R2 R3书写DHCP并且在R1 R2 R3之间配置IP地址(12.1.1.0 23.1.1.0) 然后启协议 让他们拥有各自的路由条目,下面演示的过程使用RIP 2协议
路由连接交换机的端口也要配置IP地址 (勿忘 排错很痛苦)
第四 ,第五,第六 的条件都可以通过ACL完成
实现全网可达,pc自动获取ip地址
R1
创建IP池子
启动rip协议 (再强调 给路由和交换机连接的端口配地址)
R2
R3
测试
pc1
pc3
pc5
pc1不能ping通pc6 但是可以ping通pc5
这是调用acl前 254为pc5 253为pc6
创建acl
书写规则
在流量进或出的接口上调用
测试
R1不能ping通R3但是可以远程登陆R3
在R3上开启远程登陆
可以看出 此时是可以登陆的
书写ACL 并调用
测试
能ping通
远程登录失败 书写调用成功
pc2不能ping通pc3,但是pc3可以ping通pc2
修改前 可互相ping通
书写 调用
测试
成功 此时 3可ping通 2
2 无法ping通 3