ACL!

ACL

1.概述:

访问控制列表ACL (Access Control List),是一个使用广泛的基础性工具,是由一系列permit或deny语句组成的,能够匹配报文和匹配路由。

2.分类:

  • Basic ACL 2000-2999 匹配源IP地址
  • Advanced ACL 3000-3999 ,能够针对数据包的源、目的IP地址、协议类型、源目的端口号等元素进行匹配。
  • 二层ACL 4000-4999
  • 自定义ACL 5000-5999

3.应用

  • 匹配IP流量(可基于源、目IP地址、协议类型、端口号等元素)
  • 在Traffic-filter中被调用
  • 在NAT中被调用
  • 在路由路由策略中被调用
  • 在IPSec VPN中被调用
  • 在防火墙的策略部署中被调用
  • 在QoS中被调用

4.通配符

  • 通配符是一个32比特长度的数值,用于指示IP地址中,哪些比特位需要严 格匹配,哪些比特位则无所谓。
  • 通配符通常采用类似网络掩码的点分十进制形式表示,但是含义却与网络 掩码完全不同。
    在这里插入图片描述

ACL配置实验

实验要求:首先全网互通,再设置ACL使R3不能通信Server2的80端口,设置ACL使vlan10的PC机不能ping通vlan20的PC机
在这里插入图片描述

SW3:

[sw3]V B 10 20
[sw3]int e0/0/1
[sw3-Ethernet0/0/1]p l a
[sw3-Ethernet0/0/1]p d v 10
[sw3-Ethernet0/0/2]p l a 
[sw3-Ethernet0/0/2]p d v 20
[sw3-Ethernet0/0/3]p l a
[sw3-Ethernet0/0/3]p d v 30
[sw3-Ethernet0/0/3]int e0/0/4
[sw3-Ethernet0/0/4]p l a
[sw3-Ethernet0/0/4]p d v 20
[sw3-Ethernet0/0/4]int e0/0/5
[sw3-Ethernet0/0/5]p l t
[sw3-Ethernet0/0/5]p t a v a
[sw3-Ethernet0/0/5]

R3:

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sys R3
[R3]int g0/0/0.1
[R3-GigabitEthernet0/0/0.1]ip add 192.168.1.254 24
[R3-GigabitEthernet0/0/0.1]dot1q termination vid 10
[R3-GigabitEthernet0/0/0.1]arp broadcast enable 
[R3-GigabitEthernet0/0/0.1]int g0/0/0.2
[R3-GigabitEthernet0/0/0.2]ip add 192.168.2.254 24
[R3-GigabitEthernet0/0/0.2]dot1q termination vid 20
[R3-GigabitEthernet0/0/0.2]arp broadcast enable 
[R3]acl 3000              //进入高级访问控制列表
[R3-acl-adv-3000]rule deny tcp source any destination 10.0.0.1 0 destination-por
t eq 80                  //设置R1不能通信sever80端口
[R3]int g0/0/1
[R3-GigabitEthernet0/0/1]traffic-filter outbound acl 3000         //在接口激活acl
[R3-acl-adv-3000]rule deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255               //设置vlan10不能ping通vlan20
[R3]int g0/0/0           
[R3-GigabitEthernet0/0/0]traffic-filter outbound acl 3000
[R3]ip route-static 0.0.0.0 0 20.0.0.2

R4:

[Huawei]sys R4
[R4]int g0/0/0
[R4-GigabitEthernet0/0/0]ip add 20.0.0.2 24
[R4-GigabitEthernet0/0/0]int g0/0/1
[R4-GigabitEthernet0/0/1]ip add 10.0.0.254 24
[R4-GigabitEthernet0/0/1]q
[R4]ip route-static 192.168.1.0 24 20.0.0.1
[R4]ip route-static 192.168.2.0 24 20.0.0.1

此时,每个PC机任然能ping通server2,但是vlan10和vlan20的PC机不能通信,再在PC2上向server2的80端口发送UDP报文,分别在R3的G0/0/1和G0/0/0接口抓包数据比较,会发现在G0/0/1接口不会收到报文,从而达到实验要求
在这里插入图片描述
G0/0/0接口的抓包数据:
在这里插入图片描述

  • 0
    点赞
  • 0
    评论
  • 0
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

©️2021 CSDN 皮肤主题: 点我我会动 设计师:白松林 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值