目录
一,访问控制列表简介
ACL-访问控制列表
作用:读取第三层第四层的头部信息,根据预先定义好的规则对流量进行筛选过滤
三层头部信息:源目ip
四层头部信息:源目端口号,TCP/UDP协议
访问控制列表的调用方向:
?
入:流量将要进入本地路由器,将被本地路由器处理
出:已经被本地路由器处理过了,流量将离开本地路由器
策略做好后在入接口调用和出接口调用的区别:
入接口调用的话:是对本地路由器生效
出接口调用的话:对本地路由器不生效,流量将在数据转发的下一台路由器生效
访问控制列表的处理原则:
1)路由条目只会被匹配一次
2)路由条目在ACL控制列表中匹配的顺序是自上而下
3)ACL访问控制列表隐含一个拒绝所有
4)ACL访问控制列表至少要放行一条路由条目
二,访问控制列表的类型
1,标准访问控制列表
只能基于源ip地址进行过滤
标准访问控制列表的列表号是2000-2999
调用原则:靠近目标
2,扩展访问控制列表
可以根据源目ip地址,TCP/UDP协议,源目端口号进行过滤
相比较标准访问控制列表扩展访问控制列表流量控制的更加精准
扩展访问控制列表的列表号是3000-3999
调用原则:靠近源
三,ACL访问控制列表的配置
配置创建一个拓扑更好的理解
?配置命令
sw1设置
[sw1]vlan bat 10 20 创建vlan10 20
[sw1]int e0/0/1 进入接口
[sw1-Ethernet0/0/1]port link-ty acc 接口链路类型设为access
[sw1-Ethernet0/0/1]port def vlan 10 接口划分进vlan10
[sw1-Ethernet0/0/1]int e0/0/2 进入接口
[sw1-Ethernet0/0/2]port link-ty acc 接口链路类型设为access
[sw1-Ethernet0/0/2]port def vlan 20 接口划分进vlan20
[sw1-Ethernet0/0/2]int e0/0/3 进入接口
[sw1-Ethernet0/0/3]port link-ty acc 接口链路类型设为access
[sw1-Ethernet0/0/3]port def vlan 10 接口划分进vlan10
[sw1-Ethernet0/0/3]int e0/0/4 进入接口
[sw1-Ethernet0/0/4]port link-ty acc 接口链路类型设为access
[sw1-Ethernet0/0/4]port def vlan 20 接口划分进vlan20
[sw1-Ethernet0/0/4]int g0/0/1 进入接口
[sw1-GigabitEthernet0/0/1]port link-ty trunk 接口链路类型设为 ?? ?
[sw1-GigabitEthernet0/0/1]port trunk allow-pass vlan all 放行所有vlan
r1设置
[r1-ui-console0]int g0/0/0 进入接口
[r1-GigabitEthernet0/0/0]undo shut开启接口
[r1-GigabitEthernet0/0/0]int g0/0/0.1进入子接口1
[r1-GigabitEthernet0/0/0.1]dot1q termination vid 10 封装方式802.1q 接口划分进vlan10
[r1-GigabitEthernet0/0/0.1]ip add 192.168.10.1 24 设置ip和子网掩码长度?? ??? ?
[r1-GigabitEthernet0/0/0.1]arp broadcast enable 开启arp广播功能
[r1-GigabitEthernet0/0/0.1]int g0/0/0.2?? ?进入子接口2
[r1-GigabitEthernet0/0/0.2]dot1q termination vid 20 封装方式802.1q接口划分进vlan20
[r1-GigabitEthernet0/0/0.2]ip add 192.168.20.1 24设置ip和子网掩码长度?? ??? ?
[r1-GigabitEthernet0/0/0.2]arp broadcast enable 开启arp广播功能
[r1-GigabitEthernet0/0/0.2]int g0/0/1 进入接口
[r1-GigabitEthernet0/0/1]undo shut 开启接口
[r1-GigabitEthernet0/0/1]ip add 12.1.1.1 24 设置ip和子网掩码长度
添加默认路由目的网段0.0.0.0子网掩码长度0下一跳入接口12.1.1.2?? ?
[r1]ip route-static 0.0.0.0 0 12.1.1.2?
[r1]acl 2000 创建标准访问控制列表ACL2000
拒绝192.168.10.0网段路由条目
[r1-acl-basic-2000]rule deny source 192.168.10.0 0.0.0.255?? ?
[r1-acl-basic-2000]rule permit source any 放行其他路由条目
[r1-acl-basic-2000]int g0/0/0.2 进入子接口2
标准访问控制列表在出接口调用?? ?
[r1-GigabitEthernet0/0/0.2]traffic-filter outbound acl 2000?
[r1]acl 3000 创建扩展访问控制列表ACL3000
禁止192.168.10.10访问202.10.100.100ftp服务
[r1-acl-adv-3000]rule deny tcp source 192.168.10.10 0 destination 202.10.100.100
?0 destination-port eq 21
放行其他客户机访问ftp服务
[r1-acl-adv-3000]rule permit tcp source any destination-port eq 21
放行其他客户机网络流量?? ?
[r1-acl-adv-3000]rule permit ip source any destination any
[r1-acl-adv-3000]int g0/0/0.1 进入子接口1
扩展访问控制列表在入接口调用
[r1-GigabitEthernet0/0/0.1]traffic-filter inbound acl 3000
r2设置
[r2-ui-console0]int g0/0/0 进入接口
[r2-GigabitEthernet0/0/0]undo shut 开启接口
[r2-GigabitEthernet0/0/0]ip add 12.1.1.2 24 设置ip和子网掩码长度
[r2-GigabitEthernet0/0/0]int g0/0/1 进入接口
[r2-GigabitEthernet0/0/1]undo shut 开启接口
[r2-GigabitEthernet0/0/1]ip add 202.10.100.2 24 设置ip和子网掩码长度?? ?
添加默认路由目的网段0.0.0.0子网掩码长度0下一跳入接口ip12.1.1.1
[r2]ip route-static 0.0.0.0 0 12.1.1.1
client设置
client1:192.168.10.10/网关192.168.10.1设置客户机1ip子网掩码长度网关指向192.168.10.1
client2:192.168.20.10/网关192.168.20.1设置客户机2ip子网掩码长度网关指向192.168.20.1
client3:192.168.10.20/网关192.168.10.1设置客户机3ip子网掩码长度网关指向192.168.10.1
client4:192.168.20.20/网关192.168.20.1设置客户机4ip子网掩码长度网关指向192.168.20.1
server设置
202.10.100.100/24网关202.10.100.2 设置服务器ip和子网掩码长度网关指向20.10.100.2
服务器开启ftp服务
测试client1pingclient2,client3,client4
client2pingclient3,client4
client3pingclient4
client1,client2,client3,client4登录服务器ftp
测试互通性检测设置是否成功
?
总结
本文主要介绍了访问控制列表的作用,处理原则,调用方向和类型。其中调用方向是难点和重点。这个点是要的理解的基础上记忆。访问控制列表的设置命令需要多加记忆和练习来更好的掌握。