2.1 实验目的
(1)理解扩展ACL和标准ACL的区别
(2)掌握扩展ACL的配置和应用
(3)熟悉扩展ACL的调试
2.2 实验原理
1.扩展ACL配置命令
为了更加精确地控制流量过滤,我们可以使用编号在 100 到 199 之间以及 2000 到 2699 之间的扩展 ACL(最多可使用 800 个扩展 ACL)。扩展 ACL 比标准 ACL 更常用,因为其控制范围更广,可以提升安全性。与标准 ACL 类似,扩展 ACL 可以检查数据包源地址,但除此之外,它们还可以检查目的地址、协议和端口号(或服务)。如此一来,我们便可基于更多的因素来构建 ACL。例如,扩展 ACL 可以允许从某网络到指定目的地的电子邮件流量,同时拒绝文件传输和网页浏览流量。
由于扩展 ACL 具备根据协议和端口号进行过滤的功能,因此我们可以构建针对性极强的 ACL。利用适当的端口号,我们可以通过配置端口号或公认端口名称来指定应用程序。
本实验案例要求配置OSPF动态路由协议使得网络联通,同时定义扩展ACL实现如下访问控制:
l 该网段只允许IP地址为172.16.1.0/28范围的主机访问server(192.168.1.254)的WEB服务;
l 该网段只允许IP地址为172.16.1.0/28范围的主机访问server(192.168.1.254)的FTP服务;
l 拒绝PC2所在网段访问服务器器server的telnet服务;
l 拒绝PC2所在网段ping server(192.168.1.254);
要配置扩展ACL,在全局配置模式中执行以下命令:
Router(config)#access-list access-list-number { remark | permit | deny} protocol source [source-wildcard] [operator port] destination [destination-wildcard] [operator port] [established] [log]
参数说明:
参数 |
参数含义 |
access-list-num |