ACL,它的作用是对网络流量的访问行为进行控制,限制网络流量、提高网络性能,提供基本的网络访问安全性,决定在路由器接口上转发或阻止哪些类型的流量,是管理员管理、监控网络流量的得力工具。
通常ACL可分为基础acl和高级acl。
基础acl只能基于源IP地址进行匹配,高级acl则能基于多种参数进行匹配,包括三层信息,源和目的IP地址以及四层信息,比如TCP/UDP的源和目的的端口号。
当数据包到达过滤数据包的路由器时,分析IP数据包第三层及第四层的包头信息,进行判断,根据预先定义好的规则对包进行过滤,决定该数据包是应该通过还是应该丢弃。如果全部满足规则,则会deny或者permit。
本次实验通过一台PC和一个Client和server通过AR1连接,与AR2中的子网模拟实现了对ACL的应用,可以阻止通信和只允许部分通信,以及单项联通。
一.建立如下拓扑图并初始化设备
因为AR1自带的串口只能配置3个接口,所以需要在设置里为AR1配置一个接口,只要不是二层板,随便一个都可以。
二.设置访问控制要求
1.基本要求:
(1)源IP地址为172.16.1.1的流量不能从Internet进入企业网络;
(2)财务部门服务器(10.10.10.0/24)只能由财务部VLAN(10.10.30.0/24)中的主机进行访问。
2.高级ACL实验需求:
(1)通过高级ACL阻止工程部主机访问服务器。
(2)不允许财务部主机访问服务器的WEB服务,其它服务可以访问,如FTP。
三.设备的配置
1.IP配置
[AR1]
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip add 10.10.20.1 24
[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip add 10.10.30.1 24
[AR1-GigabitEthernet2/0/0]ip add
[AR1-GigabitEthernet2/0/0]ip address 10.10.10.1 24
[AR1-GigabitEthernet0/02]ip add
[AR1-GigabitEthernet0/0/2]ip address 100.64.8.10 30