admin管理员组文章数量:1574127
扩展ACL
ACL应用规则
在一个接口一个方向上只能应用一个访问控制列表
access-list 1 deny host 192.168.1.1
access-list 2 deny host 192.168.2.1
int f0/0
ip access-group 1 in#这条生效
ip access-aroup 2 in # 这条不生效
ip access-aroup 2 out #另一个方向根本没有192.168.2.1的通信信息,相当于白配置
可以通过在同一个路由器上设置in、out来解决,要注意流量走向
扩展ACL:基于源ip、目的ip、指定协议、端口号、标志位进行过滤。表号:100~199
配置扩展ACL实例
实验要求
1、PC0无法访问服务器0的DNS服务,其他服务不受影响
2、PC1无法访问服务器0的http服务,其他服务不受影响
3、两台主机都无法ping通服务器0
如图完成上述拓扑搭建,网段划分,ip配置,服务器也需要配置ip,然后指定静态路由,实现所有主机与服务器互通,服务器开启DNS,并写一条资源记录www.test 123.123.123.123。完成以上设置才能做实验
PC1 ping 服务器
PC0 ping 服务器
测试http服务
测试DNS服务
这一步需要将主机dns服务器配置为server的ip
思考:ACL的配置在哪台服务器上完成?配置在入口还是出口?
链路上尽量不要出现无用流量
减少路由器工作量
尽量配置在一个表上
在这个拓扑上,要么多个表号直接应用在入口,要么一个表号,直接应用在出口即,路由器1的g0/1接口
DNS基于udp的应用层协议 端口是53.号
Http基于tcp的应用层协议,端口是80号
eq 等于
gt 大于
lt 小于
neq 不等于
range 一个范围
R1上的配置如下
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#access-list 160 deny ?
ahp Authentication Header Protocol
eigrp Cisco's EIGRP routing protocol
esp Encapsulation Security Payload
gre Cisco's GRE tunneling
icmp Internet Control Message Protocol
ip Any Internet Protocol
ospf OSPF routing protocol
tcp Transmission Control Protocol
udp User Datagram Protocol
Router(config)#access-list 160 deny icmp ?
A.B.C.D Source address
any Any source host
host A single source host
Router(config)#access-list 160 deny icmp host 192.168.10.2 ?
A.B.C.D Destination address
any Any destination host
host A single destination host
Router(config)#access-list 160 deny icmp host 192.168.10.2 host 192.168.30.2
Router(config)#
Router(config)#access-list 160 deny icmp host 192.168.20.2 host 192.168.30.2
Router(config)#
Router(config)#access-list 160 deny tcp host 192.168.10.2 host 192.168.30.2 eq 80
Router(config)#
Router(config)#access-list 160 deny udp host 192.168.20.2 host 192.168.30.2 eq 53
Router(config)#
Router(config)#access-list 160 permit ip any any查看效果
PC0无法使用dns服务,但HTTP服务不受影响
PC2刚好相反,不做演示
总结:
扩展ACL命令:
先拒绝再允许\最后配置一条permit ip any any 允许其他ip流量通过
access-list 表号 permit/deny 协议(icmp ip tcp udp) host 源地址 host 目的地址(eq/gt/lt/neq/range) 端口号
版权声明:本文标题:交换机和路由器技术-31-扩展ACL 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://www.elefans.com/dianzi/1725335328a1019637.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论