[网络协议]关于ACL——访问控制列表的理论及配置方案

目录

ACL——访问控制列表

标准访问控制列表拓扑图

L2-SW1

R1

效果图

扩展访问控制列表拓扑图

?总结

ACL——访问控制列表

作用：读取三层、四层头部信息，根据预先定义好的规则对流量进行筛选、过滤。

三层头部信息：源、目标IP

四层头部信息：源、目标端口号

访问控制列表的调用方向：

入：流量将要进入本地路由器，将被本地路由器处理

出：已经被本地路由器处理过了，流量将离开本地路由器

策略做好后，在入接口调用和出接口调用的区别：

入接口调用的话，对本地路由器生效

出接口调用的话，对本地路由器不生效，流量将在数据转发过程中的下一台设备生效

访问控制列表的处理原则：

1、路由条目只会被匹配一次

2、路由条目在ACL访问控制列表中匹配的顺序是从上往下匹配

3、ACL访问控制列表隐含一个放行所有

4、ACL访问控制列表至少要放行一条路由条目

访问控制列表类型：

1、标准访问控制列表

只能基于源IP地址进行过滤

标准访问控制列表的列表号是2000-2999

调用原则：靠近目标

2、扩展访问控制列表

可以根据源、目标IP地址，TCP/UDP协议，源、目端口号进行过滤

相比标准访问控制列表，流量控制的更加精准

扩展访问控制列表的列表号是3000-3999

调用原则：靠近源

标准访问控制列表拓扑图

L2-SW1

[L2-SW1]vlan bat 10 20
Info: This operation may take a few seconds. Please wait for a moment...done.

[L2-SW1]int e0/0/1?
[L2-SW1-Ethernet0/0/1]port link-type access?
[L2-SW1-Ethernet0/0/1]port default vlan 10

[L2-SW1-Ethernet0/0/1]int e0/0/2?
[L2-SW1-Ethernet0/0/2]port link-type access?
[L2-SW1-Ethernet0/0/2]port default vlan 20

[L2-SW1-Ethernet0/0/2]int e0/0/3
[L2-SW1-Ethernet0/0/3]port link-type access?
[L2-SW1-Ethernet0/0/3]port default vlan 10?

[L2-SW1-Ethernet0/0/3]int e0/0/4?
[L2-SW1-Ethernet0/0/4]port link-type access??
[L2-SW1-Ethernet0/0/4]port default vlan 20

[L2-SW1-Ethernet0/0/4]int g0/0/1??
[L2-SW1-GigabitEthernet0/0/1]port link-type trunk???
[L2-SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan all

R1

[R1]int g0/0/0?

[R1-GigabitEthernet0/0/0]undo shutdown?
Info: Interface GigabitEthernet0/0/0 is not shutdown.

[R1-GigabitEthernet0/0/0]int g0/0/0.1
[R1-GigabitEthernet0/0/0.1]dot1q termination vid 10
[R1-GigabitEthernet0/0/0.1]ip add 192.168.10.1 24??
[R1-GigabitEthernet0/0/0.1]arp broadcast enable?
[R1-GigabitEthernet0/0/0.1]q

[R1]int g0/0/0.2
[R1-GigabitEthernet0/0/0.2]dot1q termination vid 20
[R1-GigabitEthernet0/0/0.2]ip add 192.168.20.1 24
[R1-GigabitEthernet0/0/0.2]arp broadcast enable?

[R1]acl 2000
[R1-acl-basic-2000]rule deny source 192.168.10.0 0.0.0.255??
[R1-acl-basic-2000]rule permit source any?

[R1-GigabitEthernet0/0/0.2]traffic-filter outbound acl 2000

效果图

[R1-GigabitEthernet0/0/0.2]traffic-filter outbound acl 2000配置这条命令后，192.168.10.0网段无法与其他网段通信

扩展访问控制列表拓扑图

?

R1

[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 12.1.1.1 24
[R1-GigabitEthernet0/0/1]undo shutdown?
Info: Interface GigabitEthernet0/0/1 is not shutdown.
[R1-GigabitEthernet0/0/1]q

[R1]ip route-static 0.0.0.0 0 12.1.1.2

?R2

[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip add 12.1.1.2 24? ??
[R2-GigabitEthernet0/0/0]undo shutdown?
Info: Interface GigabitEthernet0/0/0 is not shutdown.
[R2-GigabitEthernet0/0/0]q

[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]ip add 202.10.100.2 24?
[R2-GigabitEthernet0/0/1]undo shutdown?
Info: Interface GigabitEthernet0/0/1 is not shutdown.
[R2-GigabitEthernet0/0/1]q??
[R2]ip route-static 0.0.0.0 0 12.1.1.1
[R2]

做完以上命令之后测试一下

?能够成功下载或上传即成功

R1

[R1]acl 3000

[R1-acl-adv-3000]rule deny tcp source 192.168.10.10 0.0.0.0 destination 202.10.1
00.100 0.0.0.0 destination-port eq 21?

[R1-acl-adv-3000]rule permit tcp source any destination any destination-port eq?21

[R1-acl-adv-3000]rule permit ip source any destination any?

?打出以上代码后Client 1无法再登陆，其他可以

?

?总结

此项目有些复杂，代码长，工作量大，需要注意