admin管理员组文章数量:1597897
配置高级的访问控制列表
原理概述:
基本的ACL只能用于匹配源IP地址,而在实际应用当中往往需要针对数据包的其他参数进行匹配,比如目的IP地址、协议号、端口号等,所以基本的ACL由于匹配的局限性而无法实现更多的功能,所以就需要使用高级的访问控制列表。
高级的访问控制列表在匹配项上做了扩展,编号范围3000——3999,既可使用报文的源IP地址,也可使用目的地址、IP优先级、IP协议类型、ICMP类型、TCP源端口/目的端口,UDP源端口/目的端口号等信息来定义规则。
高级访问控制列表可以定义比基本访问控制列表更准确、更丰富、更灵活的规则,也因此得到更加广泛的应用。
实验目的;
理解高级访问控制列表的应用场景
掌握配置高级访问控制列表的方法
理解高级访问控制列表与基本访问控制列表的区别
开始实验:
首先我们进行接口配置和OSPF协议的配置使全网互通;
命令如下:
AR1:
#
interface GigabitEthernet0/0/0
ip address 10.0.13.1 255.255.255.0
#
interface GigabitEthernet0/0/1
#
interface NULL0
#
interface LoopBack0
ip address 1.1.1.1 255.255.255.255
#
ospf 1
area 0.0.0.0
network 1.1.1.1 0.0.0.0
network 10.0.13.0 0.0.0.255
AR2:
#
interface GigabitEthernet0/0/0
ip address 10.0.23.1 255.255.255.0
#
interface GigabitEthernet0/0/1
#
interface NULL0
#
ospf 1
area 0.0.0.0
network 10.0.23.0 0.0.0.255
AR3:
#
interface GigabitEthernet0/0/0
ip address 10.0.13.254 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 10.0.23.254 255.255.255.0
#
interface GigabitEthernet2/0/0
ip address 10.0.34.1 255.255.255.0
#
interface NULL0
#
interface LoopBack0
ip address 3.3.3.3 255.255.255.255
#
ospf 1
area 0.0.0.0
network 3.3.3.3 0.0.0.0
network 10.0.13.0 0.0.0.255
network 10.0.23.0 0.0.0.255
network 10.0.34.0 0.0.0.255
AR4:
#
interface GigabitEthernet0/0/0
ip address 10.0.34.254 255.255.255.0
#
interface GigabitEthernet0/0/1
#
interface NULL0
#
interface LoopBack0
ip address 4.4.4.4 255.255.255.255
#
interface LoopBack1
ip address 40.40.40.40 255.255.255.255
#
ospf 1
area 0.0.0.0
network 4.4.4.4 0.0.0.0
network 10.0.34.0 0.0.0.255
network 40.40.40.40 0.0.0.0
都配置完成后,我们查看是否实现全网互通以及查看路由表:
可以观察到,实现了全网互通,AR1也学习到了相关网段的路由信息;
配置Telnet,在AR4上配置:
配置完成后,尝试Telnet连接R1连R4;
我们可以发现,只要是路由可达的设备,并且拥有Telnet的密码,都可以成功正常登录;
配置高级访问控制列表:
根据设计要求,R1的环回接口之只能通过R4上的4.4.4.4进行Telnet访问,但是不能通过40.40.40.40访问;
如果只能通过访问R4的环回口0地址登录设备,即同时匹配数据包的源地址和目的地址实现过滤,此时通过标准ACL是无法实现的,因为ACL只能通过匹配源地址实现过滤,所以需要使用到高级ACL。
在R4上使用ACL命令创建一个高级ACL 3000;
可以观察到,在不指定规则ID的情况下,默认步长为5,第一条规则ID即为5。
将ACL 3000调用在VTY下,使用inbound参数,即在R4的数据入方向上调用。
配置完成后,在R1上使用环回口地址尝试访问40.40.40.40
可以观察到,此时过滤已经实现,R1不能使用环回口地址访问40.40.40.40
此时高级ACL还可以实现对源、目的端口,协议号等信息的匹配,功能非常强大。
实验结束;
备注:如有错误,请谅解!
此文章为本人学习笔记,仅供参考!如有重复!!!请联系本人!
版权声明:本文标题:超详细如何配置高级ACL 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://www.elefans.com/dongtai/1728299221a1152808.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论