1.ACL访问控制列表
1.1作用
- 读取第三层,第四层包头信息
- 根据定义好的规则对包头进行过滤(要么通过,要么丢弃)
- 当数据包从接口经过时,由于接口启用了acl,此时路由器会对报文进行检查,然后做出相应的处理。
1.2通信五元素
- 源地址
- 目标地址
- 源端口
- 目标端口
- 协议
1.3 ACL种类
- 基本ACL(2000~29999):只能匹配源地IP地址
- 高级ACL(3000~39999):可以匹配通信五元素
- 二级ACL(4000~49999):可以根据数据包的源MAC地址,目标MAC地址,二层协议类型
1.4工作原理,
** 访问控制列表在接口应用的方向**
- 在这个接口的地方定义n条规则进行筛选过滤数据包 如果匹配就放行 如果拒绝就丢弃 规则判定全部结束之后会进入一个隐藏的规则 华为放行所有 思科拒绝所有
- 出: 经过路由器处理,正离开路由器接口的数据包
- 入: 已到达路由器接口的数据包,将被路由器处理
1.5工作过程
- 从上往下 依次匹配,匹配即停止
- 华为隐含同意(没有匹配的就同意)
- 思科隐含默认
2.实验一
2.1实验要求如图
- 仅允许访问192.168.2.0 /24其它主机均不可访问
2.2实现思路
- 先配置路由器端口
- 设计一个白名单,仅给PC1访问,其它都拒绝
2.3实验步骤
第一步配置端口信息,给PC1加入白名单
第二步在端口应用这个acl
第三步查看
3.实验二
3.2实验要求如图
3.3实验思路
1.禁止19.168.1.0,网段ping用icmp协议
2.给Client1设计白名单,用PCT协议
3.4实验步骤
第一步,用acl3000定制规则
第二步,在端口使用ACL
第三步,查看
- 1.0网段ping失败,2.0网段ping成功
- Client1访问服务器成功,Client2访问服务器失败