当前位置:   article > 正文

ACL原理与配置_acl 一条策略多个端口

acl 一条策略多个端口

通过vlan,我们划分了广播域
通过单臂路由和三层交换机,我们实现了不同vlan之间的通信

ACL访问控制列表(Access Control List)

1、用来对数据包做访问控制(丢弃或通行)
2、结合其他协议(例:传输层的tcp、udp),ACL可以控制协议的流量能否通过

acl的作用
访问控制,决定流量能否通过,通过=放行;不通过=丢弃
主要配置在路由器

ACL概述
1、acl可以配置多条策略
2、根据报文来进行匹配和区分
ACL组成编号默认从5开始步长也为5
2000~2999为基本acl,只能匹配源IP地址
3000~3999为高级acl,可以匹配源IP地址、目标IP、源端口号、目标端口、三层(icmp)和四层(tcp、udp)的协议字段
4000~4999,根据数据包的源mac地址、目的mac地址,802.lq优先级、二层协议

基本acl,尽量用在靠近目的端口
例:
规则 允许 源 地址 写死
rule permit source 192.168.1.10 0

高级acl,尽量用在靠近源地址的地方,保护带宽(涉及协议的必须用高级acl,例:ping,http等)
例:
规则 允许 协议 源 地址 子网掩码
rule permit ip source 192.168.1.0 0.0.0.255

多条策略的匹配原则:
1、有则匹配,无则放行
2、匹配到第一条之后,后序相同的将不再进行匹配
一个接口只能配置一个acl,配置其他acl时必须先删除旧的

反掩码通配符:“0”表示严格匹配(不变),“1”表示随机分配(可变)
0.0.0.0 为固定IP地址
0.0.0.255 为固定网段

例:
192.168.233.0/24 20 22 23 24的反掩码
00000000.00000000.00000000.00010100
00000000.00000000.00000000.00010110
00000000.00000000.00000000.00010111
00000000.00000000.00000000.00011000
00000000.00000000.00000000.00001111=15
0.0.0.15

实验

一、仅允许PC1访问1921668.2.0/24网络(即仅允许PC1访问PC 3)
1.1添加设备,连接并启动

在这里插入图片描述
1.2 配置端口的网关地址,
创建基本acl 2000,按根据设置acl2000,
先允许指定的源地址通行,再拒绝所有源地址通行并配置给端口g0/0/0

在这里插入图片描述
1.3配置完成后,分别用PC1和PC2 ping PC3,
可以看到PC1成功,PC2超时,说明配置成功!

在这里插入图片描述
二、禁止192.168.1.0/24网段 ping Web服务器
2.1 创建高级acl 3000,按需求设置acl 3000
拒绝指定网段访问192.168.3.30,然后把acl 3000配置给端口g0/0/2

在这里插入图片描述
2.2 分别用PC1和Client ping Web服务器,
访问失败,说明配置成功

在这里插入图片描述
三、仅允许Client访问Web服务器的www服务
3.1 创建高级acl 3001,按要求配置 acl3001 ,
允许tcp协议的指定源地址访问192.168.3.30,然后将acl 3000配置给端口g0/0/1

在这里插入图片描述
3.2 通过http进行通信并对端口g0/0/1进行抓包

在这里插入图片描述

在这里插入图片描述

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/很楠不爱3/article/detail/191899
推荐阅读
相关标签
  

闽ICP备14008679号