ACL的概述
在路由器上读取OSI七层模型的第三层及第四层包头的信息
根据定义好的规则,对包进行过滤
ACL的工作原理
有两个方向
出:已经过路由器的处理,正离开路由器接口的数据包
入:已经到达路由器接口的数据包,将被路由器处理
列表应用到接口方向与数据方向有关
访问控制列表的类型
1 标准访问控制列表
基于源IP地址过滤数据包
白哦准访问控制列表的访问控制列表号是1~99
2 扩展访问控制列表
基于源IP地址、目的ip地址、指定协议、端口和标志来过滤数据包
扩展访问控制列表的访问控制列表号是100~199
3 命名访问控制列表
命名访问控制列表允许在标志和扩展访问控制列表中使用名称代替表号
标准ACL的配置实例
要求配置标准ACL实现 禁止PC2访问主机PC1,而允许其他流量访问
sw1的配置命令
sw1#conf t
sw1(config)#no ip routing 关闭路由功能
sw1(config)#
R1上的配置命令
R1(config)#int f0/1
R1(config-if)#ip add 192.168.1.1 255.255.255.0
R1(config-if)#no shu
R1(config-if)#ex
R1(config)#int f0/0
R1(config-if)#ip add 192.168.2.1 255.255.255.0
R1(config-if)#no shu
R1(config-if)#ex
R1(config)# 以上给端口配置ip的
R1(config)#access-list 1 deny host 192.168.2.10 拒绝ip为192.168.2.10pc2这台主机访问pc1
R1(config)#access-list 1 permit any 允许其他的流量
R1(config)#int f0/0
R1(config-if)#ip access-group 1 in 将ACL应用于接口 ACL才会生效
用show access-lists命令查看ACL的配置
在GNS3 VPCS中给pc机配置ip
在GNS3 VPCS中验证
验证结果 ,PC2 不能ping通主机PC1, 但是PC3 可以ping 通PC1
扩展ACL的配置实例
要求c2是window7 c1是服务器 W7能访问C1服务器但是ping不通
sw1的配置命令
sw1#conf t
sw1(config)#no ip routing 关闭路由功能
sw1(config)#
R1上的配置命令
R1(config)#int f0/1
R1(config-if)#ip add 192.168.40.1 255.255.255.0
R1(config-if)#no shu
R1(config-if)#ex
R1(config)#int f0/0
R1(config-if)#ip add 192.168.30.1 255.255.255.0
R1(config-if)#no shu
R1(config-if)#ex
R1(config)#
R1(config)#access-list 101 deny icmp host 192.168.30.0 host 192.168.40.14 echo 创建ACL,使用ICMP协议拒绝192.168.10.0访问192.168.30.40主机
R1(config)#access-list 101 permit ip any any 允许其他网段访问
R1(config-if)#ip access-group 101 in 将ACL应用于接口
R1#show access-lists 101 用来查看ACL的信息
window7上没有添加ICMP是可以ping通centos的
window7上验证访问结果
用show access-lists命令查看ACL的配置
window7上添加ICMP后是不可以ping通centos的
验证结果W7能访问C1服务器但是ping不通
命名ACL的配置实例
实验要求命名ACL 拒绝192.168.20.10的pc 访问pc1,允许别的ip地址访问
SW1的配置命令
sw1(config)#no ip routing 关闭路由功能
R1上的配置命令
R1(config)#int f0/0
R1(config-if)#ip add 192.168.20.1 255.255.255.0
R1(config-if)#no shu
R1(config-if)#ex
R1(config)#int f0/1
R1(config-if)#ip add 192.168.10.1 255.255.255.0
R1(config-if)#no shu
R1(config-if)#ex
R1(config)#ip access-list standard abc 创建命名ACL asd是名称
R1(config-std-nacl)#deny host 192.168.20.10 拒绝的ip地址
R1(config-std-nacl)#permit any 允许别的ip地址访问
R1(config-if)#ip access-group abc in 将ACL应用于接口
R1#show access-lists abc 查看ACL信息
在GNS3 VPCS中给pc机配置ip
在GNS3 VPCS中验证
Sequence-Number决定ACL语句在ACL列表中的位置
R1(config)#ip access-list standard asd
R1(config-std-nacl)#15 deny host 192.168.20.10
R1(config-std-nacl)#16 permit host 192.168.30.0
R1#show access-lists asd
验证结果 已命名ACL 拒绝192.168.20.10的pc 访问pc1,允许别的ip地址访问
转载于:https://blog.51cto.com/13871378/2166386
来源:CSDN
作者:weixin_34292402
链接:https://blog.csdn.net/weixin_34292402/article/details/91685812