一、ACL-访问控制列表

作用:读取三层、四层头部信息,根据预先定义好的规则对流量进行筛选、过滤。

三层头部信息:源、目IP

四层头部信息:源、目端口号、TCP/UDP协议

访问控制列表的调用的方向

入:流量将要进入本地路由器,将被本地路由器处理

出:已经被本地路由器处理过了,流量将离开本地路由器

策略做好后,在入接口调用和出接口调用的区别:入接口调用的话,是对本地路由器生效出接口调用的话,对本地路由器不生效,流量将在数据转发过程中的下一台路由器生效。

二、访问控制列表的处理原则

1.路由条目只会被匹配一次

2.路由条目在ACL访问控制列表中匹配的顺序是从上往下匹配

3.ACL访问控制列表隐含一个拒绝所有4ACL访问控制列表至少要放行一条路由条目

 

三、访问控制列表类型

1.标准访问控制列表只能基于源IP地址进行过滤

标准访问控制列表的列表号是2000-2999调用原则:靠近目标

2.扩展访问控制列表可以根据源、目IP地址,TCP/UDP协议,源、目端口号进行过滤相比较标准访问控制列表,流量控制的更加精准

扩展访问控制列表的列表号是3000-3999调用原则:靠近源

AR路由器上的单臂路由命令

[]int g0/0/0

undo shut

[]int g0/0/0.1

dotlg termination vid 10 封装方式为802.1q,g0/0/0.1划分进vlan10

ip add 192.168.10.124/设置IP和掩码长度

arp broadcast enable//开启ARP广播功能

[]intg0/0/0.2dotlg termination vid 20

ip add192.168.20.1 24

arp broadcast enable

标准访问控制列表acl 2000创建标准访问控制列表,列表号为2000

rule deny
source192.168.10.0.0.0.0.255拒绝192.168.10.0网段(子网掩码为反掩码rule permit source any放行其他路由条目默认ACL的每条语句的行号间隔5接口调用列表

int g0/0/0.2

outbound--出接口

inbound--入接口

traffic- filter outbound/ inbound acl 2000选择在出/入接口上调用列表2000扩展访问控制列表

acl number 3000

rule deny tcp source 192. 168.10.10 0.0.0.0

destination 202. 10. 100. 100 0.0.0.0 destination-port eq 21/ftp//禁止PC1访问FTP服务

rule permit tcp destination- port eq ftp/放行其他客户机访问FTP服务

rule permit ip//放行其他客户机的网络流量

int g0/0/0.1traffic-filter inbond acl 3000

四、实际操作

拓扑图

 

第一步实现全网互通

二层交换机

 

第一台路由器

 

第二台路由器

 

先ping一下是可以ping通的

 

客户端这里也是可以上传和下载的

 

第二步扩展访问列表

 

测试vlan10是否还能连接服务器

 

 总结：ACL配置的时候需要首先全网互通，互通以后再操作ACL策略的设置