目录
1.acl
ACL访问控制列表
作用:读取三层,四层头部信息,根据预先定义好的规则对流量进行筛选,过滤。
三层的头部信息:源,目IP
四层的额头部信息:源,目端口号
2.访问控制列表的调用的方向
出:已经过路由器的处理正离开路由器接口的数据包
入:已到达路由器接口的数据包,将被本地路由器处理。
策略做好后,在入接口调用和出接口调用的区别:
入接口调用的话,对本地路由生效
出接口调用的话,对本地路由器不生效,流量将对数据转发过程中的下一台路由器生效。
控制访问列表的处理规则
1,路由条目只会被匹配一次
2,路由条目在ACL访问列表中匹配的顺序是从上往下匹配的
3,ACL访问控制列表隐含一个拒绝所有
4,ACL访问控制列表至少要放行一条路由条目。
3.访问控制列表的类型(两大类)
(1)标准访问控制列表
? 只能基于源IP地址进行过滤
调用原则:靠近目标
标准访问控制列表的列表号是2000-2999
(2)扩展访问控制列表
? 可以更具源,目IP地址,TCP/UDP协议,源,目端口号进行过滤
相比较便准访问控制列表,流量控制的更加精确
调用原则:靠近源
扩展访问控制列表的列表号是3000-3999
4.项目说明
进行二层交换机配置
[l2-sw1]vlan bat 10 20
[l2-sw1]int e0/0/01
[l2-sw1-Ethernet0/0/1]port link-type access
[l2-sw1-Ethernet0/0/1]port default vlan 10
[l2-sw1-Ethernet0/0/1]int e0/0/2
[l2-sw1-Ethernet0/0/2]port link-type access
[l2-sw1-Ethernet0/0/2]port default vlan 20
[l2-sw1-Ethernet0/0/2]int e0/0/3
[l2-sw1-Ethernet0/0/3]port link-type access
[l2-sw1-Ethernet0/0/3]port default vlan 10
[l2-sw1-Ethernet0/0/3]int e0/0/4
[l2-sw1-Ethernet0/0/4]port link-type access
[l2-sw1-Ethernet0/0/4]port default vlan 20
[l2-sw1-Ethernet0/0/4]int g0/0/1
[l2-sw1-GigabitEthernet0/0/1]port link-type trunk
[l2-sw1-GigabitEthernet0/0/1]port trunk allow-pass vlan all配置完成后进入路由器1的配置
[]int g0/0/0
[]undo shutdown
[]int g0/0/0.1
[]dot1q termination vid 10 封装方式为802.1q,g0/0/1划分进vlan10
[]ip add 192.168.10.1 24 设置IP地址和子网掩码长度
[]arp broadcast enable 开启arp广播功能
[]int g0/0/0.2
[]dot1q termination vid 20 封装方式为802.1q,g0/0/1划分进vlan10
[]ip add 192.168.20.1 24
[]arp broadcast enable
int g0/0/0.2
traffic-filter outbound/inbound acl acl列表号进行第二台路由器的配置
int g0/0/0
ip add 12.1.1.2 24
undo shutdown
int g0/0/1
ip add 202.10.100.2 24
undo shu
ip route-static 0.0.0.0 0 12.1.1.1完成实验拓扑图如下:
?5.总结
实验较为复杂,一定要看清楚端口号,千万不能设置错了!!!!