实验原理:
1、ACL 访问控制列表 access-list
ACL 定义了一组规则,用于对进入入站接口的数据包、通过路由器中继的数据包,以及从路由器出站接口输出的数据包施加额外的控制。
数据包过滤有时也称为静态数据包过滤,通过分析传入和传出的数据包并根据给定的条件传递或丢弃数据包,从而控制网络访问,例如源 IP 地址、目的 IP 地址和数据包内传输的协议等。
当路由器根据过滤规则转发或拒绝数据包时,它便充当了一种数据包过滤器。
ACL 是一系列 permit 或 deny 语句组成的顺序列表,称为访问控制条目 (ACE)。
ACL 的最后一条语句都是隐式拒绝语句。
2、标准 ACL 与 扩展ACL
标准ACL仅根据源地址过滤IP数据包
扩展ACL可根据多种属性过滤IP数据包
源地址与目的地址
源及目的的TCP与UDP端口,各种应用服务的TCP/UDP端口见策略举例附表
协议类型(如 IP、TCP、UDP、ICMP、HTTP、FTP等)
3、ACL实施原则及常用策略举例
对于HTTP、DNS、Telnet、SSH等服务应该明了其TCP、UDP的端口;
标准ACL靠近目的地址,扩展ACL尽量靠近源地址;
对于实施路由器或者防火墙,在某个接口实施,数据包对于该接口是迎面而来用in,离我而去用out;
对于一个网络要用网络号加通配符掩码,对于一台主机用host加ip地址.
实验内容:
1、R2路由器对于Finance与Product网络的路由总结
2、使用Extended ACL进行HTTP协议的访问控制
3、使用Extended ACL进行FTP协议的访问控制
4、Extended ACL对于ICMP中Echo 与 Echo-reply 控制
5、Extended ACL对于其他协议类型的控制
实验topo图如下:
各个设备分配的地址如下:
1.配置ip地址
2.路由总结
3.HTTP协议的控制
4.FTP协议控制
FTP 登录为21端口因此开启21
5.ICMP中的echo和Echo-reply
ICMP中ping大家应该明白,Echo是你ping对方,Echo-reply是对方回应你
在这个例子中,我们在int fa0/1 实施in限制,因此别人回应你是不过滤的,别人ping你的时候,你对别人的回应是echo-reply
配置ftp服务器登录用户
验证:
NB ping FTP服务器
FTP服务器ping NB:(不通)FTP服务器ping PC1(通)
有4个echo-reply数据包匹配。
6.不允许PC1ping通web服务器
默认情况下pc1可以ping通web服务器
让我们来加上acl限制它们之间的通信
验证:
1252
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
