ACL实验-高级ACL

路由与交换 专栏收录该内容
8 篇文章 0 订阅

 一、每一个acl都需要分配一个编号,成为acl编号,基本acl:2000-2999,高级acl:3000-3999,二层acl:4000-4999,用户自定义acl:5000-5999。一个acl的每一个规则有相应的编号,规则编号按照:10,20,30,40...

        基本acl:只能基于IP保温的源IP地址来定义规则。

       rule 10 deny/permit source 具体的IP地址 反掩码

     ACL进入接口使用,traffic-filter outbound/inbound acl 2000(将ACL应用在接口上)

       高级ACL:可以根据源IP地址,IP报文目的地址,IP报文的优先级,TCP报文的源端口号,目的端口号,UDP报文的源端口号,目的端口号等。

二、本题运用高级ACL实现。

      首先说一下FTP,WWW服务器的配置和使用:

 

在不做任何配置的情况下,CILENT是可以访问FTP和WWW的。

 

要实现客户1不能对服务器1进行FTP访问,客户2不能对服务器2进行www访问。则需要在路由器上配置ACL实现。

[AR1]acl 3000
[AR1-acl-adv-3000]rule 10 deny tcp source 192.168.1.1 0 destination 172.16.10.1 
0 destination-port eq 21(阻止1.1的访问IP地址为172.16.1.1端口为21的TCP报文)
[AR1-acl-adv-3000]rule 20 deny tcp source 192.168.1.2 0 destination 172.16.10.2 0
destination-port eq 80

[AR1-acl-adv-3000]int g0/0/0
[AR1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000(把ACL3000应用在入端口上)

[AR1]acl 2000
[AR1-acl-basic-2000]rule deny source 192.168.1.0 0.0.254.255(来自192.168.1.0/24P地址为奇数的主机不能访问服务器)
[AR1-acl-basic-2000]int g0/0/1
[AR1-GigabitEthernet0/0/1]traffic-filter inbound 2000

解释:192.168.1.0网段奇数网段有:192.168.1.1、192.168.1.3、 192.168.1.5、 192.168.1.7 等,写成二进制前16位相同,第17-24位分别为:00000001,00000011,000000101,000000111,可以发现第24位都为1,故反掩码只需要第24位为0即可,故为:11111110,因此想要奇数网段通过只需要把反掩码设置为:0.0.254.255即可。

对客户1ping包抓包:

 

 

 

  • 6
    点赞
  • 0
    评论
  • 20
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

©️2021 CSDN 皮肤主题: 大白 设计师:CSDN官方博客 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值