大家好,又见面了,我是你们的朋友全栈君。
目录
一.概述
作用:读取三层、四层头部信息,根据预先定义好的规则对流量进行筛选、过滤
三层头部信息:源、目的IP
四层头部信息:TCP/UDP协议、源、目的端口号
二.访问控制列表的调用的方向:
入:流量将要进入本地路由器,将被本地路由器处理
出:流量已经被本地路由器处理,将离开本地路由器
三.策略做好后,在入接口调用和出接口调用的区别
入接口调用:是对本地路由器生效
出接口调用:对本地路由器不生效,流量将在数据转发过程中的下一台路由器生效
四.访问控制列表的处理原则:
1路由条目只会被匹配一次
2.路由条目在ACL访问控制列表中匹配的顺序是由上而下匹配
3.ACL访问控制列表隐含一个放行所有
4.ALC访问控制列表至少要放行一条路由条目
五.访问控制表类型
1.标准访问控制列表
只能基于源IP地址进行过滤
标准访问控制列表号2000-2999
调用原则:靠近目标
2扩展访问控制列表
可以根据源、目标IP,TCP/UDP协议,源、目标端口号进行过滤
相比较标准访问控制列表,流量控制的更加精准
扩展访问控制列表的列表号是3000-3999
调用原则:靠近源
A交换机
<Huawei>u t m
<Huawei>sys
[Huawei]sy A
[A]user-interface console 0
[A-ui-console0]idle-timeout 0 0
[A-ui-console0]q
[A]vlan b 10 20
[A]int e0/0/1
[A-Ethernet0/0/1]port link-type access
[A-Ethernet0/0/1]port default vlan 10
[A-Ethernet0/0/1]int e0/0/2
[A-Ethernet0/0/2]port link-type access
[A-Ethernet0/0/2]port default vlan 20
[A-Ethernet0/0/2]int e0/0/3
[A-Ethernet0/0/3]port link-type access
[A-Ethernet0/0/3]port default vlan 10
[A-Ethernet0/0/3]int e0/0/4
[A-Ethernet0/0/4]port link-type access
[A-Ethernet0/0/4]port default vlan 20
[A-Ethernet0/0/4]int g0/0/1
[A-GigabitEthernet0/0/1]port link-type trunk
[A-GigabitEthernet0/0/1]port trunk allow-pass vlan all
B路由器
<Huawei>u t m
<Huawei>sys
[Huawei]sy B
[B]user-interface console 0
[B-ui-console0]idle-timeout 0 0
[B-ui-console0]q
[B]int g0/0/0
[B-GigabitEthernet0/0/0]undo shutdown
[B-GigabitEthernet0/0/0]int g0/0/0.1
[B-GigabitEthernet0/0/0.1]dot1q termination vid 10 封装方式为802.1q g0/0/0.1划分进vlan10
[B-GigabitEthernet0/0/0.1]ip add 192.168.10.1 24 设置IP地址和掩码长度
[B-GigabitEthernet0/0/0.1]arp broadcast enable 开启ARP广播功能
[B-GigabitEthernet0/0/0.1]int g0/0/0.2
[B-GigabitEthernet0/0/0.2]dot1q termination vid 20 封装方式为802.1q g0/0/0.1划分进vlan20
[B-GigabitEthernet0/0/0.2]ip add 192.168.20.1 24 设置IP地址和掩码长度
[B-GigabitEthernet0/0/0.2]arp broadcast enable 开启ARP广播功能
[B-GigabitEthernet0/0/0.2]q
设置完后。vlan10和vlan20可以通的
标准访问列表设置
[B]acl 2000 创建标准访问控制列表,列表号2000
[B-acl-basic-2000]rule deny source 192.168.10.0 0.0.0.255 拒绝192.168.10.0网段(子网掩码为反掩码,原掩码是255.255.255.0)
[B-acl-basic-2000]rule permit source any 放行其他路由条目
[B-acl-basic-2000]q
[B]int g0/0/0.2
[B-GigabitEthernet0/0/0.2]traffic-filter outbound acl 2000 选择在g0/0/0.2出接口上调用列表2000
入接口为inbound
默认ACL每条语句的行号间隔5
vlan10和vlan20之间已经不通了
扩展访问控制列表
第一台路由器增加默认路由命令
[B]int g0/0/3
[B-GigabitEthernet0/0/0]ip add 12.1.1.1 24
[B-GigabitEthernet0/0/0]undo shutdown
[B]ip route-static 0.0.0.0 0 12.1.1.2
第二台路由器
<Huawei>u t m
<Huawei>sys
[Huawei]sys C1
[C1]user-interface console 0
[C1-ui-console0]id 0 0
[C1-ui-console0]q
[C1]int g0/0/0
[C1-GigabitEthernet0/0/0]ip add 12.1.1.2 24
[C1-GigabitEthernet0/0/0]undo shutdown
[C1-GigabitEthernet0/0/0]int g0/0/1
[C1-GigabitEthernet0/0/1]ip add 202.10.100.2 24
[C1-GigabitEthernet0/0/1]undo shutdown
[C1-GigabitEthernet0/0/1]q
[C1]ip route-static 0.0.0.0 0 12.1.1.1
服务器配置
点击启动,在1号终端上ping服务器地址,然后填入服务器地址,点击登录,即可看到服务器上的目录,这里可以上传或者下载文件
这时在第一台路由器中输入
[B]acl 3000
[B-acl-adv-3000]rule deny tcp source 192.168.10.3 0.0.0.0 destination 202.10.10
0.10 0 destination-port eq 21 禁止PC1访问FTP服务
[B-acl-adv-3000]rule permit tcp source any destination any destination-port eq
21 放行其他客户机访问FTP服务
[B-acl-adv-3000]rule permit ip source any destination any 放行其他客户机的网络流量
[B]int g0/0/0.1
[B-GigabitEthernet0/0/0.1]traffic-filter inbound acl 3000 选择在入接口上调用列表3000
这时再去客户机1上连接服务器,就无法登录了
而其他机器登录正常
总结
了解acl访问控制列表
访问控制列表处理原则
访问控制表类型的两种类型
发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/163454.html原文链接:https://javaforall.cn